Monitor Logfile with threshold of <n> number of occurences - warning first, then critical alert

This forum was archived to /woltlab and is now in read-only mode.
  • Hi !


    I'm trying to monitor my Apache2 Logfile for Brute-Force password attempts which are happening via POST request.


    At some point someone will try to brute force passwords and therefore start a "POST-flood" onto the server where Nagios should first "warn" with, lets say, a thresold of 10 posts in the last 5 mins and after a threshold of 50 posts in the last 5 min there should be a critical alarm.


    I could only find logfile analyzers where certain words / lines are "caught" andused as exception but nothing really which monitors the file of <n> number of occurences in the last X minutes..


    Anyone got an idea for that ?


    Thanks !

  • Danke, ich schau mal drüber, aber ich glaub mit check_logfiles wird das nichts.. Evtl. muss ich ein eigenes Perl Skript bemühen daß "einfach" in den letzten 10 Minuten die "POST"'s in der access.log zählt und bei > 10 oder > 50 entsprechend WARN bzw. CRIT ausgibt.

  • Hast du bei dir so etwas wie Logstash/Elastic Stack oder Graylog im Einsatz oder denkst darüber nach? Damit könntest du derartige Alert-Conditions leichter abbilden bzw parsen. Das setzt aber klarerweise auch einen zusätzlichen Stack voraus.