Я установил сервер журналов с запущенным splunk. Я выполнил ping одного из клиентов, используя backtrack .... Это также генерирует журнал, который отправляется на сервер журнала ??????
Хотел обнаружить сканирование портов ... на любых клиентах .. как это сделать ???
Клиент - это машина ubuntu, как и сервер, то есть сервер системного журнала.
Системный журнал - это средство записи данных, а Splunk - средство анализа и поиска данных. Ни один из них не предназначен для обнаружения событий безопасности, таких как сканирование портов.
Для обнаружения событий безопасности вам потребуется программное обеспечение, обычно называемое «IDS» - система обнаружения вторжений. Для этой IDS потребуется сетевой интерфейс, который видит весь трафик, который вы надеетесь наблюдать. Это либо зеркальный порт на управляемом коммутаторе или любом порту концентратора.
Подключите сниффер для обнаружения сетевых вторжений, например Snort, к порту мониторинга. Создайте правила для отслеживания попыток сканирования портов. Выгрузите вывод IDS в Splunk для анализа через системный журнал.
Это зависит от брандмауэра на клиентах, вы даже не упоминаете задействованную ОС, не говоря уже о том, что вы проверяете, но, безусловно, можно было бы настроить брандмауэры некоторых ОС для системного журнала при попытках / отказах доступа к портам.
Тем не менее, это не особенно хороший способ делать то, что, я думаю, вы хотите. Если вы хотите увидеть, любой машина внутри вашей сети сканирует порты и не имеет для этого способа на основе коммутатора / маршрутизатора, тогда продолжайте и делайте то, что вы хотите, с брандмауэрами, системными журналами и splunk, но если вы ожидаете, что сканирование портов будет поступать из в другой сети, вам нужно только посмотреть на входной порт / порты, что было бы намного проще.
Возможно, вернись к нам с много больше информации, и мы сможем внести ясность.