*** Stefan Eggert (eggert@kaffeeschluerfer.com) schrieb am Feb 24, 2004 in...:
[...] Auswerten, nicht wirklich. Problem ist das du wirklich sehr viel Trash auf der Firewall hast. Wichtig sind aber abnorme Dinge zu Prüfen (durch Snort logwatch, tripwire, MRTG, aide). Dies sollte man nicht unterschätzen, ich Prüfe das jeden Tag, auch im Urlaub :-(
Umpf! /Insbesondere/ bei solchen Sachen macht es _keinen_ Sinn, äugisch zu prüfen. Die Logs sind zur Dokumentation, zum gelegentlichen äugischen Prüfen auf Unregelmäßigkeiten und als Ansatzpunkt für automatische Warnsysteme geeignet. Bei mir lief ein logsurfer auf einem FIFO, inzwischen logsurfer per stdin an einem syslog-ng, der mir Mail schickt, wenn etwas unerwünschtes in den Logs auftaucht. Dort wird wiederum per procmail entschieden, welche der Warnmeldungen per SMS an mein Handy geschickt werden. Alternativ kann man auch an der erst- oder zweitgenannten Stelle Scripte in Gang setzen, die bestimmte IPs sperren oder ähnliches tun. Auf jeden Fall ist das äugische Kontrollieren von Firewall-Meldungen etwas, wass man mit Recht belächeln darf :).
[...] Einen Einbruch erkennst Du meist eh immer erst wenn er passiert ist.
Aber nicht an den Logs, denn die sind dann typischerweise manipuliert...
[...]
MfG Henning Hucke --
Man sollte die Sprueche der MCSEs sammeln und als Witzbuch herausgeben. Das waere sicherlich ein Bestseller, meinst du nicht? Gibt's ein Beißholz gratis dazu? Nein, aber ein Schild mit der Aufschrift: "Die meinen das ernst" -- J. Ilse, MOW und Regina