[sage] Logfileanalyse

[Joerg Dorchain]

On Mon, Dec 17, 2012 at 10:43:49AM +0100, Juergen Kahnert wrote:
> Moin,
> 
> On Mon, Dec 17, 2012 at 10:35:29AM +0100, Jens Link wrote:
> > was nimmt mal am besten für die Auswertung?  OpenSource bevorzug. 
> 
> schonmal einen Blick auf OSSEC (ossec.net) geworfen? 

Wir sind aus Zeitmangel von unserem certifizierer (pci) dazu
gedraengt worden.

Es mag zwar durch die Zertifizierung helfen aber:
- Nicht paketierbar ohne ziemliche Verrenkungen
- hardcodierte IPv4 adressen
- Nicht getestet, aber ich hab nichts zu IPv6 gesehen

> 
> Zur Logfile Analyse funktioniert es ziemlich gut, alles andere läßt
> allerdings viel Raum für Verbesserungen...

Logfileanalyses wirft bei bei knapp 100 client >99% false
positives. Unser Zertifizierer ist gluecklich, aber der Filter
muss definitiv getrimmt werden.

> Auch bei der Mailbenachrichtigung fehlen ein paar Features, was aber
> erst auffällt, wenn viele verschiedene Leute unabhängig voneinander
> per Mail benachrichtigt werden sollen.

Das auch.

Tschau,

Joerg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: not available
Type: application/pgp-signature
Size: 267 bytes
Desc: Digital signature
Url : http://lists.guug.de/pipermail/sage/attachments/20121217/316b0a03/attachment-0001.pgp