Splunk通过其Google地图插件具有此function,可以映射在系统日志中显示的IP地址。 这样你可以精确定位诸如扫描等攻击的地理位置。
你们是否有这样的build议,以及如何使用常规的系统日志服务器(如syslog-ng或收集日志的系统日志软件)来完成这项工作? 你将如何执行反向查找系统日志?
我们有一个ASA设备,我们想分析系统日志以更好地了解外部攻击的位置。
这些服务使用Geo-IP数据库来查找IP地址到物理位置。 有些数据库很便宜,有些数据库非常昂贵,这取决于你想要的粒度级别。
至于如何做到这一点,我恐怕不能说多less。 我将提取每行到一个数据库,并对GeoIP表进行查找 – 但可能有更有效的方法来做到这一点。