<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html; charset=UTF-8" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
For what its worth, Tenable shipped a Splunk agent this week so you can
feed logs into<br>
our system and do anomaly detection, user tracking and other types of
correlation.<br>
<br>
I also really like the Mandiant Highlighter. We run our tools at a lot
of gov't agencies<br>
and universities. I've been able to do things like see that there was
an anomaly on a certain<br>
host and then do a query for that host's DNS records through our
logging solution, and <br>
then drop this file into Highlighter. You can add more and more complex
negative filters<br>
to strip away logs you don't care about. In this case I was looking for
odd DNS requests<br>
and was able to globally remove *gmail.com, *facebook.com, .etc. <br>
<br>
Ron Gula<br>
Tenable Network Security <br>
<br>
On 6/5/2009 1:51 PM, Paul Asadoorian wrote:
<blockquote cite="mid:4A295B09.6030104@pauldotcom.com" type="cite">
  <pre wrap="">Splunk was one of those tools that got popular after I left the
university.  I think we need to do a tech segment on it as its been
highly recommended by many.

Cheers,
Paul

Russell Butturini wrote:
  </pre>
  <blockquote type="cite">
    <pre wrap="">Commercial or open source? For commercial we like Cisco’s CS-MARS, but
that’s a big investment.  Free tools, Splunk is pretty darn good.

 

*From:* <a class="moz-txt-link-abbreviated" href="mailto:pauldotcom-bounces@mail.pauldotcom.com">pauldotcom-bounces@mail.pauldotcom.com</a>
[<a class="moz-txt-link-freetext" href="mailto:pauldotcom-bounces@mail.pauldotcom.com">mailto:pauldotcom-bounces@mail.pauldotcom.com</a>] *On Behalf Of *Andrew
Anderson
*Sent:* Friday, June 05, 2009 10:20 AM
*To:* PaulDotCom Security Weekly Mailing List
*Subject:* [Pauldotcom] your log management tools of choice?

 

Just trying to wade though the choices...

Looking for recommendations for syslog parsing and management tools. 
(post gathering).


------------------------------------------------------------------------

_______________________________________________
Pauldotcom mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Pauldotcom@mail.pauldotcom.com">Pauldotcom@mail.pauldotcom.com</a>
<a class="moz-txt-link-freetext" href="http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom">http://mail.pauldotcom.com/cgi-bin/mailman/listinfo/pauldotcom</a>
Main Web Site: <a class="moz-txt-link-freetext" href="http://pauldotcom.com">http://pauldotcom.com</a>
    </pre>
  </blockquote>
  <pre wrap=""><!---->
  </pre>
</blockquote>
<br>
</body>
</html>