[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02462] Re: syunlog (Was: Re: Re: MonyoLog Project)
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02462] Re: syunlog (Was: Re: Re: MonyoLog Project)
- From: Akira Ryowa <ryowa@xxxxxxxxxx>
- Date: Tue, 25 Feb 2003 15:22:24 +0900
りょうわ です。こんにちは。
サービス版 syunlog がとっても楽しみです。
On Tue, 25 Feb 2003 14:44:32 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
> えっと、ネーミングはそれで OK なんでしょうか?(^^;;;;;
わたしはsyslog 似のネーミングでいいと思ったんですが :)
> DShield 形式だと解析が楽になるのでしょうか?>りょうわさん
> #使ったことないので、monyolog 形式でも十分な私。。。
DShield 云々は、あんまり気にしていただかなくてもよいと思いますです。
内容的には、あと TCP flag と、ICMP Type が出力されれば、全く十分かと。
Perl とかでちゃちゃっと集計してしまうつもりなら、今の monyolog 形式でも
何の問題もないですが、タブ区切りとかカンマ区切りだと、そのまんま DB にイ
ンポートできて、統計処理には便利なんじゃないかなぁと思ったりしまして。
ちなみに、最近では、DShield に登録してログをポストすると、以下のような感
じのサイトごとのサマリー分析レポートを送ってくれるので、なかなか便利です
ね。
サンプル -------------------------------------------------------------
(...snip...)
Day: 2003-02-23
Userid: ********
For 2003-02-23 you submitted 227 packets from 75 sources hitting 7 targets.
Port Summary
============
Port | Packets | Sources | Targets | Service | Name
------+-----------+-----------+-----------+--------------------+-------------
137 | 112 | 33 | 7 | netbios-ns | NETBIOS Name Service
80 | 18 | 12 | 7 | www | World Wide Web HTTP
1024 | 10 | 10 | 1 | Jade | [trojan] Jade
1434 | 11 | 8 | 5 | ms-sql-m | Microsoft-SQL-Monitor
445 | 39 | 5 | 7 | microsoft-ds | Win2k+ Server Message Block
0 | 5 | 3 | 3 | |
21 | 8 | 2 | 7 | ftp | File Transfer [Control]
6588 | 6 | 2 | 4 | AnalogX | AnalogX Proxy Server
8080 | 3 | 1 | 2 | http-alt | HTTP Alternate (see port 80)
(...snip...)
Source Summary
==============
source | hostname | packets | targets | all packets | all targets | first seen
----------------+-----------------+---------+---------+-------------+-------------+-----------
213.33.61.61 | | 11 | 7 | 7 | 4 | 02-15-2003
219.166.23.35 | | 5 | 5 | 29 | 11 | 02-20-2003
81.130.4.92 | btopenworld.com | 4 | 4 | 5 | 5 | 02-21-2003
61.219.71.72 | ET-IP.hinet.net | 4 | 4 | 13 | 13 | 02-22-2003
142.163.77.249 | rp77.newtel.com | 4 | 4 | 2048 | 2029 | 01-11-2003
146.82.109.200 | | 4 | 4 | 5883 | 875 | 02-21-2003
64.114.176.218 | 7.whooshnet.com | 4 | 4 | 2403 | 2388 | 01-11-2003
(...snip...)
Fightback Summary
=================
IP Address | Date/Time sent | Reply | Sent To
--------------+----------------------+-------+-------------------------
ここまで -------------------------------------------------------------
--
Akira Ryowa <ryowa@xxxxxxxxxx>