> My problem is what tool to use to evaluate the logs for attacks > (e.g. portscans) and notify me by mail?
I know you probably wouldn't want to hear the question, but I'll put it to you: What for? I would utilize the logs for the goal of archival. Particular blocked attacks or portscans occur so often... Its much better to monitor a counter in order to detect DOS attacks or configuration errors and if there's concern about intrusion set up a couple rules to trigger the alarm when its counter is activated (outgoing connections, connection search for domain controllers...) > > Mein Problem mit welchem Tool werte ich die Logs auf Angriffe aus (z. b. > > Portscans) und maile Sie mir zu. > > Ich weiss, die Frage wolltest du nicht hören, aber ich stelle sie doch mal: > wozu? > > Ich wuerde die Logs zu Archivzwecken vorhalten. Einzelne geblockte Angriffe > oder Portscans passieren so oft... > > Viel besser ist es counter zu monitoren um DOS Angriffe oder > Fehlkonfiguration zu erkennen und wenn man Angst vor Intrusion hat intern > ein paar Regeln aufzusetzen die Alarme ausloesen wenn deren Counter > anspringen (ausgeende Verbindungen, Connection Versuche zu Domain > Controllern...) > > Gruss > Bernd -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
