Trabalho com servidores HTTP todos os dias e digo sempre que a Matrix roda neles. Analisar logs HTTP é uma das coisas mais legais e informativas, mas muitos não possuem todos os detalhes necessários para solucionar um problema ou encontrar algum espertinho tentando causar algum dano, vulgo cracker.
Eu utilizo o httpry há algum tempo e posso dizer que ele á uma das melhores ferramentas para essa tarefa, capturar e armazenar em logs todo o tráfego HTTP que esteja passando em servidor, sem a necessidade de muitos filtros, de forma rápida e objetiva.
# httpry version 0.1.5 # Fields: timestamp,source-ip,dest-ip,direction,method,host,request-uri,http-version,status-code,reason-phrase 2009-01-12 15:02:31 192.168.0.16 209.85.171.103 > GET www.google.com / HTTP/1.1 - - 2009-01-12 15:02:31 192.168.0.16 209.85.171.103 > GET www.google.com / HTTP/1.1 - - 2009-01-12 15:02:32 192.168.0.16 209.85.171.103 > GET www.google.com / HTTP/1.1 - - 2009-01-12 15:02:33 192.168.0.16 209.85.171.103 > GET www.google.com / HTTP/1.1 - -
Outro ponto importante sobre o httpry é que você não precisa compilá-lo para utilizá-lo.
Thiago
18 jul 2011Só uma dica, revise seus textos antes de publicar, quase sempre tem erro de digitação.
VulgoToc
18 jul 2011Outra dica. O próprio rsyslog traz muito mais níveis de detalhamento, conforme pode ser constatado ao analisar o manual de ambos. Além do que, rodar um packet sniffer para fazer um trabalho, em nível de kernel, que poderia ser feito direto pelo syslog(em userspace), é uma baita cagada! De cara se perde logo em performance, para não citar outras muitas desvantagens claras… Se o objetivo for analisar tráfego( colocando a interface em modo promiscuo) então melhor utilizar um IDS ou IPS, ao invés de “cagar” o servidor web…
bruno
18 jul 2011Bacana a ferramenta
Gustavo Lima
18 jul 2011boa dica..
CyberSystemX
18 jul 2011Nossa…ai é querer ser o rei dos Nerds em hehehehe corrigir erro de portugues é sacanagem com o Gustavo não acha?
Abraços continue sempre assim com o blog.