Il giorno 30 aprile 2010 23.44, Lorenzo Cococcia <[email protected]> ha scritto: > > Salve a tutti > Per lavoro abbiamo intenzione di provare Argus ( > http://www.qosient.com/argus/ ), ho potuto "giocherellarci" poco in > questi giorni, ma a rimo acchito la prima cosa che mi è saltata agli > occhi è la scarsa dcumentazione a corredo del tool (sia il server che > i vari client), tato che sul sito ufficiale alla sezione "manuals" > non c'è nulla, con tanto di scritta Under Development. > Vi chiedo se qualcuno di voi lo usa, o se lo ha già adottato in produzione.
Beh, io ho usato Argus nel 2007 (temo che da allora sia rimasto lo stesso...) ottimo strumento, non incide pesantemente sul carico di sistema e ti permette di lavorare seriamente a suon di query; la "suite" contiene anche altri tool utili... Da un mole di dati di circa 4.000.000 di record giornalieri (relativi al traffico di due subnet), raccogliendo i soli dati a me utili, parzializzando e normalizzando ho tirato fuori una sorta di rulebase, costruita ad hoc poi con il supporto di un database. Inizialmente mi ero buttato su Ntop ma si è rivelato non adatto ai miei obiettivi. Ovviamente esistono soluzioni migliori, più professionali ma...il mio scopo è stato raggiunto. ;-) Ah, sulle due subnet ci stanno qualcosa come 2500 server... -- Santino Nocera Security Engineer @ Telecom Italia & Co-Founder Losis Community http://www.losis.org
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
