Létezik olyan open source log analizáló szoftver, amivel telepítés után "megetetek" egy adag logot és ő ennek alapján kiszedi a friss logokból a megszokottól eltérő üzeneteket?
- 1558 megtekintés
Hozzászólások
Akkor ezt vehetem nemleges válasznak? (felírva a soha el nem készülő, megírandó programok listájára :) )
- A hozzászóláshoz be kell jelentkezni
Syslog-ng: pdbtool patternize
Ha jol emlekszem, valami ilyesmire jo. Utana a patternizalt logok mehetnek egy mappa strukturaba, a nem ismertekrol meg mail/riasztas/postagalamb es goto #1
Neten van leiras hozza.
- A hozzászóláshoz be kell jelentkezni
Köszi, úgy tűnik, a keresési módszerem nem volt túl hatékony, mert a google még csak hasonlót sem dobott fel a próbálkozásaimra.
- A hozzászóláshoz be kell jelentkezni
Elasticsearch/logstash/kibana?
https://www.infoq.com/presentations/elasticsearch-revealing-uncommonly-…
https://www.elastic.co/guide/en/elasticsearch/guide/current/significant…
- A hozzászóláshoz be kell jelentkezni
Neked is köszönöm.
Akkor már csak egy kérdés: mire kellene keresni, hogy használható találatokat kapjak e témában?
Fura... self learning log analyzer kifejezésre, ha nem is ezek, de jön relevánsnak látszó találat...
Akkor mi a ...t csináltam, hogy korábban nem találtam semmit?
- A hozzászóláshoz be kell jelentkezni
Az elasticsearch mögött lucene van. Ez (többek között) tud egy olyat amit "term frequency–inverse document frequency" néven szoktak emlegetni:
https://en.wikipedia.org/wiki/Tf%E2%80%93idf
https://findwise.com/blog/under-the-hood-of-the-search-engine/
https://www.elastic.co/blog/significant-terms-aggregation
Ez az algoritmus (megfelelő adatmodellel/adatokkal) jól használható mindenféle anomália keresésre, pl. bankkártya csalások szűrésére, vagy olyanok kiszűrésére, hogy "Ez a gép általában 20% procit használ, de most ez felment 50-re. Az 50 még mindig határon belül van (tehát nem jön riasztás), de inkább ránézek, mert valszeg gebasz van."
a "Syslog-ng: pdbtool patternize"-ról nem tudok nyilatkozni, de valszeg az is hasonló módon működik.
- A hozzászóláshoz be kell jelentkezni
Ö... nem erre gondoltam. :)
Azon vagyok elakadva, hogy két-három napon át több alkalommal próbáltam a google-ből kiszedni, hogy milyen loganalizáló szoftverek léteznek, amik képesek önmaguktól tanulni, felismerni az anomáliákat.
Ehhez képest kaptam millió, totál irreleváns találatot, illetve hiába volt a keresésben FOSS/free/GPL/stb. kifejezés, kifejezetten fizetős szoftvereket.
A jelek szerint valamit nagyon elkeféltem a kereséskor.
Mondjuk ha a teaching helyett learning van, akkor azért nagyságrendekkel javul a keresés eredményessége :)
- A hozzászóláshoz be kell jelentkezni
Szerencsére a google még nem tart ott, hogy kitaláljon mindent. :)
Aztán ki tudja: https://distill.pub/2017/aia/
- A hozzászóláshoz be kell jelentkezni
:) De úgy csinál, hogy mindig ő akar az okosabb lenni. :D
- A hozzászóláshoz be kell jelentkezni
Te meg bedoltel neki majdnem, de szerencsere megmentettunk. :)
Amugy a tanulas/tanitas strategianak van elonye es hatranya is termeszetesen. Neked kell eldonteni, melyikkel tudsz egyutt dolgozni. Nekem a tanitas jott be, mert tudom, hogy mit ontok bele a kalapba es ellenorzom is azt. Bar el tudom fogadni, hogy van olyan kornyezet, ahol mar erre nincs kedv, ember, ido, penz,... De az en meglatasom alapjan a tanulo rendszert ugyanugy masszirozni kell kesobb, hogy le- vagy rabeszeld a false positive/negative talalatokra. Szoval szerintem csak atmozgatod az idoraforditast kesobbre.
Bar itt ismet kiemelnem: ez az en velemenyem es mindketto strategia eletkepes.
- A hozzászóláshoz be kell jelentkezni
Csak egy hirtelen jött ötlet volt.
A routerem logját nézegettem, ami többnyire abból áll, hogy grep -v DROP kern, és elméláztam rajta, hogy abban a maradék 100-200 sorban észrevenném-e, ha valami szokatlan egysoros üzenet jönne be?
Ebből jött, hogy perl scripttel jól meganálozom, abból meg az, hogy szerintem erre már van céleszköz.
- A hozzászóláshoz be kell jelentkezni