Lo que busco realmente es un sencillo monitor de red que me cree un registro diario completo (aunque no hace falta web, pues lo controlo mediante squid/ SARG), lo volque en bbdd y pueda visualizarse cómodamente en formato logsurfer, swatch y tipo así.
* La auditoria de netfilter esta estandarizada a traves del target ULOG de iptables. * apt-get install ulogd ulogd-pgsql ulogd-mysql ulogd-pcap el demonio, el plugin para postgree, mysql y ficheros pcap elige el que quieras o todos. * arranca la base de datos mysql por ejemplo cambia el pasword de root viene en blanco mysqladmin -u root -p 'pasword_de_administracion' * Conecta con mysql y crea la base de datos y usuarios, mysql -u root -p (te pedira el password_de_administracion) * crea la base de datos mysql> create database ulog; Query OK, 1 row affected (0,00 sec) * inyecta el esquema de tablas mysql> use ulog; Database changed mysql> source /usr/share/doc/packages/ulogd/mysql.table Query OK, 0 rows affected (0,05 sec) * los privilegios de los usuarios escribir y leer mysql> GRANT select,insert ON ulog.* TO escribir@localhost IDENTIFIED BY 'pass_de_escribir'; Query OK, 0 rows affected (0,00 sec) mysql> GRANT select ON ulog.* TO leer@localhost IDENTIFIED BY 'pass_de_leer'; Query OK, 0 rows affected (0,00 sec) mysql> flush privileges; Query OK, 0 rows affected (0,00 sec) mysql> \q Bye * Edita /etc/ulogd.conf y comenta estas lineas para que no loguee a un fichero. # # ulogd_LOGEMU.so - simple syslog emulation target # # where to write to syslogfile /var/log/ulogd.syslogemu # do we want to fflush() the file after each write? syslogsync 1 # load the plugin plugin /usr/lib/ulogd/ulogd_LOGEMU.so * Modifica el siguiente bloque. # # ulogd_MYSQL.so: optional logging into a MySQL database # # database information mysqltable ulog mysqlpass pass_de_escribir mysqluser escribir mysqldb ulog mysqlhost localhost # load the plugin (remove the '#' if you want to enable it) plugin /usr/lib/ulogd/ulogd_MYSQL.so * Cambia las "marcas" LOG de las reglas del cortafuegos por ULOG * Arranca ulogd, recarga el cortafuegos. * Si quieres logs a un fichero, tengo por hay algo con logwatch para que mande la informacion deseada. * Para leer la base de datos por aqui hay un par de kilos de programas, applets, etc, http://www.inl.fr/Nulog.html http://www.inl.fr/download/nulog-1.1.1.tar.gz http://joker.linuxstuff.pl/specter/ http://bonehunter.rulez.org/software/ccze/ http://sourceforge.net/projects/pothos/ http://johoho.eggheads.org/files/ulogd_php.tar.bz2 http://w5.cs.uni-sb.de/~gogo/homepage/ulog-monitor/ no obstante mysql se puede atacar con cualquier cosa, php, perl, etc. * Si no lo ves claro aqui tienes un programilla que te genera logs "round-robin". http://www.signuts.net/projects/rdatad/rdatad.tar.gz