Estou executando um servidor Linux RHEL 6 e recebo cerca de 3000-5000 acessos em meus logs do iptables diariamente e quero ver todos os acessos no iptables, endereço de origem, nome da rede de origem, portas, contagens de acessos etc.
Existe alguma ferramenta de análise avançada que possa avaliar os ataques no servidor através de qualquer interface web, que é o que eu estou realmente interessado?
Se você quiser uma ferramenta de monitoramento, você pode usar Snort como khaled sugeriu, outra ferramenta de código aberto é OSSEC .
Tem muitas regras para fornecer monitoramento para servidores web, servidores de e-mail, autenticação ssh ... Ele envia um e-mail quando as coisas parecem suspeitas e também pode, quando configurado, bloquear esses IPs. Eles têm modelo de servidor-cliente. Eu escrevi uma introdução e um guia sobre como usá-lo aqui .
Você viu os Sistemas de Detecção de Intrusão ? O Snort é um IDS de código aberto bem conhecido. Este software pode ficar em seu gateway e monitorar seu tráfego para gerar alarmes / alertas com base em critérios diferentes.
Uma ferramenta simples e agradável seria fwanalog . Ele é baseado no antigo pacote Analógico que fornece uma análise dos logs do Apache. O FWanalog é razoavelmente rápido de configurar e fornece um ótimo detalhamento dos blocos de firewall.
Para um relatório mais detalhado, eu procuraria algo mais parecido com o Splunk ou o OSSEC, ambos excelentes ferramentas. O FWanalog, no entanto, pode ser configurado e testado de forma significativamente mais rápida, no entanto.