LOG SERVER / LOG COLLECTOR

Zařízení pro sběr a vyhodnocování logů (Log server / Log collector)

Jedná se o samostatné zařízení určené pro sběr a vyhodnocování logů (ve formátu syslog), které je součástí určité DMZ zóny nebo vnitřní LAN sítě. Vlastní vyhodnocování logů pak provádí automat na základě předem daných šablon. Obsluha má samozřejmě možnost se k jednotlivým logům vracet a zpětně je podrobně analyzovat. Vlastní rozesílání upozornění na „podezřelé“ logy se děje pomocí e-mailu nebo SMS. Celé zařízení je možné provozovat na bázi open source a to s nekomerční licencí GPL.

Zařízení plně vyhovuje požadavkům zákona o bezpečnosti kybernetického prostoru (181/2014 Sb.), dále splňuje doporučení Rady EU (COUNCIL OF THE EUROPEAN UNION) a vyhovuje metodice NIST. Další dokumentaci můžete stáhnout zde.

Ukázka výstupu z automatického vyhodnocování logů na log collectoru:

Security Alerts
=-=-=-=-=-=-=-=
Nov 28 01:02:28 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:75.120.227.248) detected.
Nov 28 01:02:36 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:75.120.227.248) detected.
Nov 28 01:03:03 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:78.54.57.253) detected.
Nov 28 01:03:06 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:78.54.57.253) detected.
Nov 28 01:03:12 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:78.54.57.253) detected.
Nov 28 01:03:24 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:74.128.239.235) detected.
Nov 28 01:03:28 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:74.128.239.235) detected.
Nov 28 01:03:33 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:74.128.239.235) detected.
Nov 28 01:05:41 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:75.120.227.248) detected.
Nov 28 01:05:49 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:75.120.227.248) detected.
Nov 28 01:06:41 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:74.128.239.235) detected.
Nov 28 01:06:44 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:74.128.239.235) detected.
Nov 28 01:06:49 192.168.1.1 PING-FLOODING flooding attack from WAN (ip:74.128.239.235) detected.
 

Blokové schema log serveru vypadá následovně

Obrázek