Frage zu Vorgehen bei Problemen (gehackter Account)

Stefan Förster cite at incertum.net
Do Nov 16 09:54:21 CET 2017


* "Dr. Peer-Joachim Koch" <pkoch at bgc-jena.mpg.de>:
>Quasi die evergreen Frage: Was kann man automatisieren und was nicht ;)

MSA-Logs mit datenschutzkonformer Anonymisierung in ein Elasticsearch,
von da aus dann einfach schauen, wie viele Treffer es pro Zeiteinheit 
gibt und wenn es zu viele sind, Alarm auslösen (WARN) oder direkt 
Account sperren (CRIT).

Statt ES und kompletten Logs kannst Du natürlich auch ein 
Graphite/InfluxDB oder eine andere TSDB benutzen und dann nur die 
Metriken pro Account abgreifen, wir hatten damals nur noch keine solche 
Lösung.



Mehr Informationen über die Mailingliste Postfixbuch-users