* Florian Weimer wrote:
> * Lutz Donnerhacke:
>>> Personal ist out. 8-(
>>>
>>> Deswegen wird man um eine weitestgehende Unterst�tzung durch die
>>> Technik nicht umhinkommen.
>>
>> Genau das ist eine Argument GEGEN Vorratsspeicherung.
>
> Nein. Wenn eine seri�s erscheinende Beschwerde da ist (eventuell
> sind's sogar mehrere), der Admin aber nichts auf dem Rechner findet,
> was machst Du dann? Trotzdem sperren, bis er eine Neuinstallation
> gemacht hat? Oder schickst Du jemanden hin, der eine Incident Response
> durchf�hrt?

Thema verfehlt. Es ging eben darum, da� man mit Vorratsdatenspeicherung
Personal einsparen will, um dann nach Wochen erst doch noch reagieren zu
k�nnen. Die Begr�ndung "Personalabbau" f�r "Vorratsdatenspeicherung" finde
ich inakzeptabel.

Trotzdem zu Deiner Frage: Wenn ich nichts finde, schreibe ich das dem
Beschwerdef�hrer. Ich gehe dann von einem Irrtum beim Beschwerdef�hrer aus
und liege damit meist richtig.

>> *seufz* Wer heute Netflow macht, macht damit Accouting, nicht Abuse.
>
> Falsch.

Ja, ich kenne auch Ausnahmen.

>> Man kann also aus der Prim�rnutzung nichts weglassen, um die
>> Sekund�rnutzung zu erweitertn.
>
> Lutz, ich rufe einfach zwei verschiedene Unterprogramme auf, eins f�rs
> Accouting (wo alles, was �ber die Grenze geht, mitgez�hlt wird), und
> eines f�r den Rest, wo dann irgendwelche andere Auswertungen laufen.
>
> Wenn Du allerdings propriet�re Werkzeuge f�r Flows einsetzt, magst Du
> an dieser Stelle verloren haben. Aber selbst daf�r gibt es wohl
> irgendwelche Appliances, die das Zeug aggregieren und verteilen, so
> wie man es braucht.

Das kann ich auch. Jedoch ziehe ich es vor an den Stellen, wo Filter
installiert sind, deren Alarmierungen zu nutzen, anstatt die komplette
Trafficstatistik monatelang vorr�tig zu halten.

Ich w��te keinen Grund, wozu man so lange Verbindungsdaten komplett
speichern sollte. Selbst Abuseauswertungen sind so aggregiert, da� die
beweiskr�ftigen Logs schon nach einigen Tagen fehlen.

-- 
To unsubscribe, e-mail: [EMAIL PROTECTED]
For additional commands, e-mail: [EMAIL PROTECTED]


Antwort per Email an