Quando você passa por seus registros, que critérios você usa para determinar se é você (ou seja: você precisa fortalecer seu (s) servidor (es)) ou (por exemplo: eles estão se aproximando de um DoS)? Quantas conexões / segundo você consideraria razoável e por quê? Você tem alguma outra regra (por exemplo: ponderada em relação aos IPs que também enviam spams?)
Idealmente, você não deveria ter que examinar manualmente os registros para esses sinais, eles devem ser definidos como limites de alerta que geram capturas SNMP / Mail automatizadas e, em algumas circunstâncias, iniciar medidas preventivas.
Quanto a regras específicas, as conexões / s ou semelhantes variam de acordo com o hardware, mas a alta utilização consistente da CPU (80% +) costuma ser motivo de preocupação, mesmo para memória e tamanho da fila de disco.
Em um empregador anterior, usamos um script para monitorar o crescimento em arquivos de log e alertamos a equipe do administrador de sistemas se o crescimento era incomum naquela hora do dia. Deu alguns alarmes falsos até que conseguimos sintonizá-lo (isto é - descobri o que era habitual em determinados momentos do dia / estação), mas depois de um tempo correu suavemente.
Geralmente, há dois tipos de alterações nos padrões de tráfego. O aumento gradual à medida que você (esperançosamente) ganha popularidade e o súbito surto causado por algum evento.
O surto repentino é aquele que normalmente mantém as pessoas à noite. Isso pode ser causado pelo departamento de marketing que está promovendo uma nova promoção; ser pego em Dig.com ou site similar; ser atingido por algum tipo de ataque geral à Internet, por exemplo, o SQL Slammer [ link ]; ou mais assustador de todos um ataque dirigido contra você, seus sites e servidores.
A boa comunicação interna ajudará no primeiro, registrando os referenciadores no segundo, mantendo um ouvido no chão, o terceiro e um plano de ação abrangente no quarto.
Registre tendências e detecção de anomalias. Represente graficamente seus padrões de tráfego com uma ferramenta como MRTG, Cacti ou Nagios (entre outros) - preferencialmente incluindo números de porta e não apenas bits de entrada / saída. Procure por tentativas de hack 'sob o radar' que não desencadeiem o conjunto normal de alarmes (leia Detecção de Extrusão: link e livros similares).
Acima de tudo, comece a procurar agora enquanto as coisas estão normais e comece a ter uma ideia do que é "normal". Conheça o seu negócio - quando é o seu horário ocupado do dia / semana / mês / ano? Comece a representar gráficos e tendências para que você tenha um histórico para se referir - quanto mais, melhor.