Комментарии 8
А почему для обработки логов не использовали fail2ban?
Нет смысла хранить записи в БД только для того, что бы их потом удалить не проанализировав. Есть смысл игнорировать их в скрипте, который складывает данные в БД. За одно и AUTOVACUUM расслабится.
Удаляю я их на данный момент. Но никто не мешает мне в будущем вместо удаления их как-нибудь обрабатывать. Можно их хотя бы считать и раскладывать по уникальным IP-шникам, или сделать скрипт отправки письма владельцу DNS-а: «Уважаемый! Пропатч пожалуйста свой сервер.»
Всё верно. В скрипте просто проверку отключить и сервер опять напряжётся ;) Я ж не настаиваю.
Кстати, подобную аналитику удобно собирать из netflow статистики. Учитывая, что у Вас стоит циска, можно на ней включить сбор флоусов и отдать, на пример в nfcapd. Из плюсов: не придётся поднимать БД, удобная и гибкая статистика, ну и язык запросов похожий на фильтр tcpdump(если это плюс, конечно).
Кстати, подобную аналитику удобно собирать из netflow статистики. Учитывая, что у Вас стоит циска, можно на ней включить сбор флоусов и отдать, на пример в nfcapd. Из плюсов: не придётся поднимать БД, удобная и гибкая статистика, ну и язык запросов похожий на фильтр tcpdump(если это плюс, конечно).
Уже делал. Изложенное здесь — это второй «веросипед» который я слепил. А первым был как раз обработчик NetFlow. Там я правда сделал еще более извращенно — все в итоге выкладывалось в csv файлы на десктопе с MS SQL-ем, откуда наш администратор БД забирал в базу и строил OLAP кубы. Красиво получалось, вот только все прекратили, когда отказали в развертывании системы на серверном «железе».
Надо в обратку на ssh ломится и тушить систему. А для вебов менять пароль.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Грязное место провайдера: проект blondemine