SP
Ну а тебя сама формулировка предполагаемого решения твоей проблемы XY не смущает?
Size: a a a
2020 June 03
SP
в принципе достаточно и раз в день шерстить за последние 30 дней
Это костыль.
yk
Ну а тебя сама формулировка предполагаемого решения твоей проблемы XY не смущает?
смущает конечно. если бы нет, я бы не спрашивал =)
MK
а вот дальше вопрос - можно ли агрегаторами или еще чем встроенным в грейлог алертить если у username больше чем одного ip
А что не так с этим?
yk
Это костыль.
согласен. интересно как сделаь без костылей
yk
А что не так с этим?
ну вопрос пока просто "можно ли в принципе"
MK
В Splunk можно, по-моему... Про Graylog не знаю
yk
ну спланк денюжку вроде стоит...
SP
смущает конечно. если бы нет, я бы не спрашивал =)
А нужно вернуться к изначальной задаче. Как она выглядит?
yk
А нужно вернуться к изначальной задаче. Как она выглядит?
есть логи содержащие "username" и его "ip". нужно алертить если ip у юзера за последние NN дней насчиталось больше 1
yk
ну и таких логов много разных от разных сервисов
yk
сейчас они все суются в greylog syslog'ом
yk
просто в сыром виде пока
yk
но не проблема экстракторами распарсить в поля
SP
есть логи содержащие "username" и его "ip". нужно алертить если ip у юзера за последние NN дней насчиталось больше 1
Это отвратный способ решения. Я спросил "как выглядит задача"?
yk
Это отвратный способ решения. Я спросил "как выглядит задача"?
задача алертить если юзер логиниться в ряд сервисов больше чем с одного ИП за последние NN дней
SP
задача алертить если юзер логиниться в ряд сервисов больше чем с одного ИП за последние NN дней
1. Логи пропускаешь через rsyslog
2. Он в потоке выбирает сообщения о логинах и кидает в базу (например, Postgres)
3. ....
4. PROFIT!
2. Он в потоке выбирает сообщения о логинах и кидает в базу (например, Postgres)
3. ....
4. PROFIT!
yk
1. Логи пропускаешь через rsyslog
2. Он в потоке выбирает сообщения о логинах и кидает в базу (например, Postgres)
3. ....
4. PROFIT!
2. Он в потоке выбирает сообщения о логинах и кидает в базу (например, Postgres)
3. ....
4. PROFIT!
Многострочные логи когда логин в одной строке а ИП юзера через строчку?
yk
ну и это доп. код нужен чтоб пп3. из БД выгребать и алертить
SP
Многострочные логи когда логин в одной строке а ИП юзера через строчку?
Выбросить. Многострочные логи должны умереть. Обычно такое в самописных поделиях встречается.