Analyseur de logs Open Source pour formats WELF & autres

Analyseur de logs Open Source pour formats WELF & autres - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-05-2004 à 10:26:27    

Salut,
 
Je cherche un équivalent open-source à NetReport (www.netreport.fr) qui puisse faire l'analyse de logs provenant de différents firewalls (FW1 Raptor, Nokia) et IDS (ISS RealSecure).
 
Apparemment les logs du Nokia (les seuls que j'aie ouvert pour le moment) sont au format WELF ... mais j'en sais pas plus.
 
Si quelqu'un utilise ce genre d'outils, je suis preneur de toute information ...
 
Merci :)

Reply

Marsh Posté le 25-05-2004 à 10:26:27   

Reply

Marsh Posté le 25-05-2004 à 10:48:36    

rincevent:~# apt-cache show acidlab
Package: acidlab
Priority: extra
Section: web
Installed-Size: 668
Maintainer: Jeremy T. Bouse <jbouse@debian.org>
Architecture: all
Version: 0.9.6b20-2
Depends: php4 | php3 | php4-cgi | php3-cgi, php4-gd | php4-cgi-gd | php3-gd | php3-cgi-gd, apache | httpd, wwwconfig-common (>= 0.0.7), libphp-phplot, libphp-adodb, debconf
Suggests: snort-mysql | snort-pgsql
Filename: pool/main/a/acidlab/acidlab_0.9.6b20-2_all.deb
Size: 118522
MD5sum: 8f6f5c327003afd9f566ca8103fd3eff
Description: Analysis Console for Intrusion Databases
 The Analysis Console for Intrusion Databases (ACID) is a PHP-based analysis
 engine to search and process a database of security events generated by
 various IDSes, firewalls, and network monitoring tools.  The features currently
 include:
 .
 o Query-builder and search interface for finding alerts matching
   on alert meta information (e.g. signature, detection time) as well as
   the underlying network evidence (e.g. source/destination address, ports,
   payload, or flags).
 .
 o Packet viewer (decoder) will graphically display the layer-3 and
   layer-4 packet information of logged alerts
 .
 o Alert management by providing constructs to logically group alerts
   to create incidents (alert groups), deleting the handled alerts or
   false positives, exporting to email for collaboration, or archiving of
   alerts to transfer them between alert databases.
 .
 o Chart and statistic generation based on time, sensor, signature, protocol,
   IP address, TCP/UDP ports, or classification
 .
 ACID has the ability to analyze a wide variety of events which are
 post-processed into its database.  Tools exist for the following formats:
 .
  o using Snort (www.snort.org)
     - Snort alerts
     - tcpdump binary logs
 .
  o using logsnorter (www.snort.org/downloads/logsnorter-0.2.tar.gz)
     - Cisco PIX
     - ipchains
     - iptables
     - ipfw
 


 
Mais jamais utilisé, et je suis pas sur qu'il supporte le WELF


---------------
brisez les rêves des gens, il en restera toujours quelque chose...  -- laissez moi troller sur discu !
Reply

Marsh Posté le 25-05-2004 à 10:58:07    

Merci pour la suggestion... malheureusement je l'ai déjà mis en place (pour une maquette Serveur/Sonde Snort) et je n'ai trouvé nulle part de moyen pour analyser des logs WELF avec... :(
 
Autres idées ?

Reply

Marsh Posté le 25-05-2004 à 14:07:12    

[:atreyu]
 
Y a pas un admin de gros réseau dans le coin ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed