Есть ли анализаторы логов вебсервера, которые обнаруживают атаки?

Question

[Ярослав]

Посоветуйте что-нибудь подходящее?
Хотелось бы в идеале, наверное, не просто грепалку по подозрительным словам (как fail2ban) а скорее штуку, которая обнаруживает любые странные аномалии (например, слишком частый запрос /login или /reset-password/ с одного IP, слишком большое количество 404 и других ошибок с одного IP).

Чтобы создать профиль приложения (что с ним допустимо делать, например, логиниться не больше 5 раз в 10 минут) и быстро обнаруживать все отклонения.

Есть ли что-то такое или хоть немного похожее?

Comments

[historydev]

Смотри в сторону WAF

[Ярослав]

historydev, WAF они же в реалтайме работают, как прокси? или тоже через логи?

[AUser0]

Ярослав, в принципе ни что не мешает WAF-у (или какому-то анализатору) работать пост-фактум, читая логи. Да, прошедшие атаки/попытки так не предотвратить, зато можно накопить информацию, что и как происходило...

Answer 1

[Vitaly Karasik]

Погуглите SIEM - это системы, которые на основе логов, events и прочего обнаруживают атаки.
Более реальный вариант для маленького проекта - отдать это на outsource - Cloudflare, Imperva и т.п.

Answer 2

[ky0]

Любой сборщик логов с возможностью создавать алерты можно так настроить - да хоть тот же Graylog.