[connect24h:5529] Re: 最近、port 3389/17300 へのスキャンが増えていますね。

[hama <hamamoto@xxxxxxxxxxx>]

はまもとです。

On Tue, 18 Feb 2003 22:33:52 +0900
"M.Hasegawa" <magma_01@xxxxxxxxx> wrote:

> 長谷川です。
> 
> > なんか、既に解決した疑問っぽいですが。。。
> > うちの定点観測のデータでも、それほどの動きはないようです。
> > 日付が歯抜けですが。歯抜けなところはカントが0です。
> 
> 素朴な疑問なんですが、こうした定点観測やサマリーを
> まとめるのにどんな手法を使われているんでしょうか。

うちは、iplogを使って、grep, uniq, sort, awk などを組み合わせて出力して
います。詳しくは、日経ネットワークセキュリティVol.3の連載「新米の管理者に贈る
ちょっと楽しいログの運用・管理法」をどうぞ。。。

というと不親切なので、ちょっと書くと

iplogの出力ログに対して、
Aug 11 00:33:22 TCP: ssh connection attempt from ca164216.test.ne.jp:4415

どのようなアプリケーションのアクセスが多かったかの集計を取る場合は、以下の
ように書きます。
cat iplog.log | grep TCP: | awk '{print $5}' | sort | uniq -c | sort -r

という感じでやればワンライナープログラミングでも色々と統計データが
取れるわけですね。(詳しいコマンドの説明は割愛)
awkの部分をうまく書けば、アプリごとの時間ごとの動きとか、日付ごとの
動きとか、色々な切り口で見れます。

# このままだと、手動でゴミを取らないといけないけど、
# まぁ、大雑把な統計はこれで取れて実用上は十分でしょう。


+---------------------------------------------------------------------
| はまもと
| ■@Random/1st 渦巻くネットの闇を照らし出せ！ 
| http://www.at-random.org/info/
| 関西で行われるセキュリティカンファレンスです。
| ■24 時間常時接続メーリングリスト開催中
| http://cn24h.hawkeye.ac/connect24h.html
| ■セカンダリDNS互助会
| http://cn24h.hawkeye.ac/dns.html 


--[PR]------------------------------------------------------------------
【 FreeML ユーザー登録してますか？】
　　・メールアドレスとパスワードのカンタン登録！
　　・ニックネームもつけられるし、WEBメールも使える！
　　・MLだってカンタンに作れちゃう！
▼ いますぐ登録！ => http://click.freeml.com/ad.php?id=121394
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp