标签:
日志分析软件 seci-log 1.12发布,增加了增加了http 旁路抓包审计。上篇文章http://www.oschina.net/news/64725/seci-log-1-11,有兴趣可以了解一下。增加内容如下:
seci-log主要的功能是做日志分析,但有时候也苦于没有日志很多时候没有办法下手,之前有个使用者提出了sniffer http协议进行审计的需求,发现这个需求具有普遍性。于是这两周就重点做了http 旁路抓包审计。
日志源,刚开始研究了snort,Xplico等软件,发现并不能很好的支持http协议的审计,也许没有研究透。后面发现httpry 能比较好的支持http协议审计,于是就在httpry的基础做了日志源审计功能,主要对httpry增加了syslog协议的支持,让他能更好的吧审计到的协议吐出来。
代码托管位置:https://github.com/zhulinu/secihttp。
在rsyslog.conf增加local0.* @收集器IP
这样配置好后。重启syslog服务
然后把交换机的端口镜像指过来。
运行: ./secihttp -g &
如果配置都争取的情况下,只要有日志就可以看到下面类似的审计记录。
这个功能可以在服务提供商或者企业审核中都比较有用。
当服务提供商有很多网站的时候,可以在核心交换机上进行端口镜像,这样就可以直接审计到所有的http协议了,不用在每台机器上进行web日志分析了。
当企业需要审计的时候,也可以在出口核心交换机的位置进行端口镜像,可以得到单位内的上网行为。
seci-log 1.12 发布 增加了http 旁路抓包审计
标签:
原文地址:http://my.oschina.net/secisland/blog/500135