Кто посоветует анализатор логов веб-сервера?

Question

[scarab]

Доброго времени суток, многоуважаемый All.

Возможно, кто-то может присоветовать анализатор логов веб-сервера, который бы умел накапливать статистику и реагировать на аномалии. Встречал подобные продукты из категории IDS/IPS, а вот именно применительно к веб-серверам не доводилось.
В идеале хочется робота, который бы первоначально прожевал логи, скажем, за месяц, сделал выводы - например, сколько в среднем запросов в секунду идёт на сервера, их распределение по IP-адресам клиентов, по запрашиваемым URL-ам, по юзерагентам, ещё по чему-нибудь - и потом, наблюдая логи в реальном времени, реагировал на аномалии - мол, чувак, а вот тут у тебя с IP-адреса 1.2.3.4 пытаются весь твой сайт обкачать, а вот там хитрая DDoS-атака 7 уровня началась.
Пока обходился разными самописными анализаторами, данные которых скармливал заббиксу, но реалии жизни (сервер периодически даёт резкие всплески нагрузки, при этом совершенно непонятно, с чем связанные) заставляют задуматься о чём-то более серьёзном.

Answer 1

[Константин]

ru.splunk.com
Подходит не только для логов вэб сервер, есть бесплатный вариант

Answer 2

[bukass]

Ну syslog-ng жеж, что может быть круче. https://syslog-ng.org/

Comments

[scarab]

Это шутка такая? :)

syslog-ng - это логгер, пускай даже продвинутый - но никак не анализатор сторонних логов.
Если Вы можете научить syslog-ng задаче вида "проанализировать логи за месяц, автоматически выявить аномалии в происходящем, сообщить" - я снимаю шляпу.
Например - я хочу, чтобы робот определил тот факт, что вот в среднем на сервер шло 90 запросов в секунду, при этом с одного адреса - 2, burst 10 (потому что обычно посетитель загружает html, который тянет за собой картинки, скрипты и прочую статику, а потом следует пауза), а вот в 12:34:56 с адреса 1.2.3.4 началась долбёжка по страницам, но картинки не запрашивались - т.е., работал тупой бот.

В принципе - написать каждый из таких анализаторов несложно и самому. Но меня интересует именно самообучающаяся система, которая бы наработала статистику и находила отклонения.

[Михаил]

scarab: ну он просто невнимательно вопрос прочитал. Ничего страшного. Со всеми бывает.

Answer 3

[Михаил]

Статистический анализ:
awstats
webalizer
(только зачем они теперь нужны, когда есть Google Analytics?)
www.valencynetworks.com/articles/top-10-web-log-an...

Анализ безопасности:
apache-scalp
IDA (Intrusion Detection for Apache)
Вообще смотря какой сервер. они ж разные и анализаторы разные. Ситуация усложняется, если ставите реверс-прокси или вэб-сервер отдает интерпретируемый код к бэкэнду (AJP, [Fast/S]CGI). Короче, описывайте ситуацию подробнее.

Answer 4

[Анатолий Ивашина]

ELK Stack (Elasticsearch, Logstash, Kibana)
elastic.co

ELK Stack for Network Operations [RELOADED]
www.networkassassin.com/elk-stack-for-network-oper...