SYSLOG

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
AndrewVL
Advanced member
Сообщения: 77
Зарегистрирован: 16 май 2005, 09:57

SYSLOG

Сообщение AndrewVL » 15 сен 2006, 11:31

Привет. Есть firewall DLINK DFL-800. У него есть возможность снимать статистику через syslog сервер.

Проблема. Подскажить где взять нормальную прогу по съему статистики (чтобы могла статистику складывать в файлы с разбивкой по дням а не все в один файл) и соответственно анализатор логов.
Что-то весь интернет перерыл - ничего подходящего не нашел -)


Thanks

ZAlex
Advanced member
Сообщения: 301
Зарегистрирован: 03 ноя 2003, 16:53
Откуда: С-Петербург

Сообщение ZAlex » 15 сен 2006, 12:21

А загнать все в базу (на минимальном базовом уровне тот-же Access) и уже анализы, фильтрацию и пр. делать на уровне SQL-запросов?

AndrewVL
Advanced member
Сообщения: 77
Зарегистрирован: 16 май 2005, 09:57

Сообщение AndrewVL » 15 сен 2006, 14:02

А чем загнать то?

Скачал Kiwi syslog. Он просто пишет в текстовый файл. Вроде даже нету ротации файлов.

ZAlex
Advanced member
Сообщения: 301
Зарегистрирован: 03 ноя 2003, 16:53
Откуда: С-Петербург

Сообщение ZAlex » 15 сен 2006, 14:28

А чем загнать то?
Тот-же Access, подключить текстовый файл, через ODBC например, как внешнюю таблицу.
Дальше, в зависимости от содержимого.....

А кусок лога можно выложить?
Строк 10-15. Не больше! :-)

AndrewVL
Advanced member
Сообщения: 77
Зарегистрирован: 16 май 2005, 09:57

Сообщение AndrewVL » 15 сен 2006, 15:28

2006-09-15 01:26:44 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Rule action=drop recvif=lan srcip=192.168.0.1 destip=10.0.0.1 ipproto=TCP ipdatalen=32 srcport=4526 destport=2161 tcphdrlen=32 syn=1
2006-09-15 01:26:44 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Rule action=drop recvif=lan srcip=192.168.0.1 destip=10.0.0.1 ipproto=TCP ipdatalen=32 srcport=4526 destport=2161 tcphdrlen=32 syn=1
2006-09-15 01:26:46 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan srcip=192.168.1.6 destip=192.168.0.1 ipproto=TCP ipdatalen=28 srcport=1222 destport=2371 tcphdrlen=28 syn=1
2006-09-15 01:26:46 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan srcip=192.168.1.6 destip=192.168.0.1 ipproto=TCP ipdatalen=28 srcport=1222 destport=2371 tcphdrlen=28 syn=1
2006-09-15 01:26:46 Local0.Emerg 192.168.0.2 FW: CONN: prio=7 rule=allow_standard conn=open connipproto=TCP connrecvif=lan connsrcip=192.168.0.155 connsrcport=1266 conndestif=wan1 conndestip=195.149.87.115 conndestport=80
2006-09-15 01:26:46 Local0.Emerg 192.168.0.2 FW: CONN: prio=7 rule=allow_standard conn=open connipproto=TCP connrecvif=lan connsrcip=192.168.0.155 connsrcport=1266 conndestif=wan1 conndestip=195.149.87.115 conndestport=80
2006-09-15 01:26:47 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Rule action=drop recvif=lan srcip=192.168.0.1 destip=10.0.0.1 ipproto=TCP ipdatalen=32 srcport=4526 destport=2161 tcphdrlen=32 syn=1
2006-09-15 01:26:47 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Rule action=drop recvif=lan srcip=192.168.0.1 destip=10.0.0.1 ipproto=TCP ipdatalen=32 srcport=4526 destport=2161 tcphdrlen=32 syn=1
2006-09-15 01:26:48 Local0.Emerg 192.168.0.2 FW: CONN: prio=7 rule=allow_standard conn=open connipproto=TCP connrecvif=lan connsrcip=192.168.0.155 connsrcport=1267 conndestif=wan1 conndestip=195.149.87.115 conndestport=80
2006-09-15 01:26:48 Local0.Emerg 192.168.0.2 FW: CONN: prio=7 rule=allow_standard conn=open connipproto=TCP connrecvif=lan connsrcip=192.168.0.155 connsrcport=1267 conndestif=wan1 conndestip=195.149.87.115 conndestport=80
2006-09-15 01:26:49 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan srcip=192.168.1.6 destip=192.168.0.1 ipproto=TCP ipdatalen=28 srcport=1222 destport=2371 tcphdrlen=28 syn=1
2006-09-15 01:26:49 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan srcip=192.168.1.6 destip=192.168.0.1 ipproto=TCP ipdatalen=28 srcport=1222 destport=2371 tcphdrlen=28 syn=1
2006-09-15 01:26:53 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Rule action=drop recvif=lan srcip=192.168.0.1 destip=10.0.0.1 ipproto=TCP ipdatalen=32 srcport=4526 destport=2161 tcphdrlen=32 syn=1
2006-09-15 01:26:53 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Rule action=drop recvif=lan srcip=192.168.0.1 destip=10.0.0.1 ipproto=TCP ipdatalen=32 srcport=4526 destport=2161 tcphdrlen=32 syn=1
2006-09-15 01:26:55 Local0.Emerg 192.168.0.2 FW: CONN: prio=7 rule=allow_standard conn=close connipproto=TCP connrecvif=lan connsrcip=192.168.0.228 connsrcport=1358 conndestif=wan1 conndestip=193.108.95.6 conndestport=80 origsent=929 termsent=638
2006-09-15 01:26:55 Local0.Emerg 192.168.0.2 FW: CONN: prio=7 rule=allow_standard conn=close connipproto=TCP connrecvif=lan connsrcip=192.168.0.228 connsrcport=1358 conndestif=wan1 conndestip=193.108.95.6 conndestport=80 origsent=929 termsent=638
2006-09-15 01:26:55 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan srcip=192.168.1.6 destip=192.168.0.1 ipproto=TCP ipdatalen=28 srcport=1222 destport=2371 tcphdrlen=28 syn=1
2006-09-15 01:26:55 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan srcip=192.168.1.6 destip=192.168.0.1 ipproto=TCP ipdatalen=28 srcport=1222 destport=2371 tcphdrlen=28 syn=1
2006-09-15 01:26:59 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan hwsender=000a:5e5f:91fb hwdest=ffff:ffff:ffff arp=request srcenet=000a:5e5f:91fb srcip=192.168.1.10 destenet=0000:0000:0000 destip=192.168.1.3
2006-09-15 01:26:59 Local0.Notice 192.168.0.2 FW: DROP: rule=Default_Access_Rule action=drop recvif=lan hwsender=000a:5e5f:91fb hwdest=ffff:ffff:ffff arp=request srcenet=000a:5e5f:91fb srcip=192.168.1.10 destenet=0000:0000:0000 destip=192.168.1.3
2006-09-15 01:27:04 Local0.Warning 192.168.0.2 FW: SYSTEM: prio=3 action=info logcnt=1657 reason=log_messages_lost_due_to_throttling
2006-09-15 01:27:04 Local0.Warning 192.168.0.2 FW: SYSTEM: prio=3 action=info logcnt=1657 reason=log_messages_lost_due_to_throttling

ZAlex
Advanced member
Сообщения: 301
Зарегистрирован: 03 ноя 2003, 16:53
Откуда: С-Петербург

Сообщение ZAlex » 15 сен 2006, 15:52

Ну, вобчем-то log изумительно конвертится и раскладывается на несколько полей в Access.
Мелкий скриптик и все данные у тебя в руках.
Только я не сильно понял на этом куске, где трафик показывается.
надо смотреть не в час ночи, а на дневном куске.... :-)

И это, обрати внимание, что у тебя записи дублируются!?!
Т.е. кажая строчка 2 раза подряд пишется.

Ответить

Вернуться в «Сети - Технические вопросы, решение проблем»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 12 гостей