Lo que está describiendo en su pregunta a menudo se llama Informationfusion . Al poder conectar diferentes fuentes de registros, puede aumentar más fácilmente el conocimiento del contexto de las solicitudes y ayudar a determinar su interpretación.
Cuantos más registros pueda poner en contexto con otros registros e información, más valiosos se vuelven.
Por ejemplo, digamos que todos sus servidores web se envían a un dispositivo central de registro donde su formato está unificado. Una vez que sus registros ahora están unificados, puede usar comandos como:
cat weblogs.tz | cut $ip > ip.txt
netcat whois.cymru.org 43 < ip.txt > result.txt
Y ahora estás sentado en tus usuarios ASN, dirección IP, Nettrange, país y otras cosas interesantes de todos tus servidores web. Yendo un paso más allá, ahora busca clientes sospechosos que visitan sus servidores en patrones que no son normales, tal vez en busca de un ataque enfocado.
Ahora, con todos los registros de su servidor web, también puede buscar más fácilmente en cualquier patrón que se vea en todos o solo en algunos de sus servidores web. Me gusta esta lista de zeltser.com/log-management/security-incident-log-review- lista de verificación :
- Intentos de acceso excesivo a archivos no existentes
- El código (SQL, HTML) se ve como parte de la URL
- Acceso a extensiones que no has implementado
- El servicio web detuvo / inició / falló los mensajes
- Acceso a páginas "arriesgadas" que aceptan comentarios del usuario
- Observe los registros en todos los servidores del grupo de equilibradores de carga
- Código de error 200 en archivos que no son tuyos
- Error en la autenticación del usuario Código de error 401, 403
- Código de error de solicitud no válido 400
Error interno del servidor Código de error 500