ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Идея для модуля


  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Идея для модуля
  • From: "Sergey Shepelev" <temotor@xxxxxxxxx>
  • Date: Mon, 15 Dec 2008 10:12:03 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:in-reply-to:mime-version:content-type :content-transfer-encoding:content-disposition:references; bh=iUTbe/POCUg9kYQYslZ6XoZKUXLjGe4JVQIRMnUkBbQ=; b=aJSgqa1rTQzhJeMseDTNd5OWlllcw8ZLvYK6qP+ClDXrOjmr/HUa02aKrazTJ6Vbgx WbyQOckKKhODM9C4qNX6Rfgg6/bsTCAGWXGa0pOOG4xeN2Jdk5mktHUf+IdEBIsg+Kd5 /sKvQUcktSnYZp9whzRcaNTCo1fNTipKa1SRc=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:in-reply-to:mime-version :content-type:content-transfer-encoding:content-disposition :references; b=kqw9CLDmHUlKf82+KqI0qy3+WNr9kD9OeyjlN4FdBlTuAiwtNY+KwejaPlR3VhQOmp svlvR9gEnFNc79eqw0NxYuYLI9P+GUC+uA0iqiSS+vi0JqLd7tmAiAfbk15lphQfeUKm iNpX4aFCNdw3mICAUT+fIkj97Emg6HTtPkFjA=
  • In-reply-to: <E7825B5E-387C-4004-B691-9AFF24392EEE@xxxxxxxxx>
  • References: <58CA4FA0-1ADD-4AA6-9E89-EB0A14D0046B@xxxxxxxxx> <2d8fb9950812090647r5c3f4655x73181a9f413f193b@xxxxxxxxxxxxxx> <E7825B5E-387C-4004-B691-9AFF24392EEE@xxxxxxxxx>

Раз в минуту-две, да.

Если размер лога увеличился
    делаем диф от предыдущей минуты
    scp access.log.diff
Копируем лог для дифа в следущий раз

Поскольку файл каждый раз открываем заново, ротация не волнует.

Когда произойдет ротация, потеряем кусок лога от последнего снапшота.

Я так думаю, что конкретно для борьбы с атаками это вполне рабочее
решение. Главный плюс в том, что оно намного дешевле модуля.

2008/12/10 Александр Кутузов <alleteam@xxxxxxxxx>:
> Ээээ,
> ну какбы, начнем всеж с того что скп не модуль. Вы предлагаете делать скп
> раз в минуту ? вместе с ротацией? и парсить это еще потом?
> Какоето невменяемой сравнение.
>
> 09.12.2008, в 21:47, Sergey Shepelev написал(а):
>
>> чем этот модуль лучше
>>
>> scp /var/log/nginx/access.log analyzer-server:
>>
>> ?
>>
>> 2008/12/9 Александр Кутузов <alleteam@xxxxxxxxx>:
>>>
>>> Собственно, пока работал в net bridge, периодически наталкивался на DDoS
>>> атаки против нас,
>>> с одной стороны конечно есть красивые цисковские железки, которые сами
>>> занимаются фильтрацией таких атак,
>>> с другой, железки эти стоят астрономических денег, и врятли имеет смысл
>>> их
>>> покупать.
>>>
>>> Идея такая:
>>> паралельно с записью обращений в лог, мы их шлем на сервер, который будет
>>> их
>>> на лету анализировать, и создавать правил фильтрации,
>>> потом отправлять их обратно на фронтэнды, где они будут динамически
>>> применяться.
>>> особой нагрузки на nginx такие логи создавать не должны, а вот когда
>>> фронтэндов много, они будут невероятно полезны.
>>> Ну и попутно третья сторона это мониторинг nginx кластеров в реалтайме.
>>>
>>> Идею даже можно разбить на несоклько модулей: мониторинг кластера и
>>> фильтрация.
>>>
>>> Со своей стороны могу засесть за реализацию алгоритмов фильтрации и
>>> демона.
>>>
>>> Kind regards,
>>> Alexandr Kutuzov, alleteam@xxxxxxxxx
>>>
>>>
>>>
>>>
>>>
>>>
>
>
> Kind regards,
> Alexandr Kutuzov, alleteam@xxxxxxxxx
>
>
>
>
>
>


 




Copyright © Lexa Software, 1996-2009.