Splunk имеет эту возможность через надстройку Google Maps, которая позволяет отображать IP-адреса, которые отображаются в вашем системном журнале. Таким образом, вы можете точно определять географические местоположения атак, например сканировать.
Есть ли у вас какие-либо предложения относительно того, можно ли и как это сделать с помощью обычного сервера системного журнала, такого как syslog-ng, или программного обеспечения системного журнала, собирающего журналы? Как бы вы сделали обратный поиск в системных журналах?
У нас есть устройство ASA, с которого мы хотим анализировать системные журналы, чтобы лучше понять местоположение внешних атак.
Эти сервисы используют Гео-IP база данных для поиска IP-адресов в физических местоположениях. Некоторые базы данных дешевы, некоторые (очень) дороги - это зависит от желаемого уровня детализации.
Что касается того, как это сделать, боюсь, я не могу пролить много света. Я бы извлек каждую строку в базу данных и выполнял поиск по таблице GeoIP, но, возможно, есть более эффективные способы сделать это.