くるくるsplunk
最近ガシガシでも無いけど使ってます>splunk
フリー版なんで500MB/dayの制限が悲しい。
とりあえずSnortとargusのログを放り込んで、なんかのアラート出たヤツがどんな通信してるか追っかけてます。これにDHCPのログを組み合わせると、物理アドレスとマシン名が分かっちゃうね。あとpopのログなんか組み合わせると、連絡先まで分かっちゃう。ついでにSWにFDB問い合わせるプログラム書いて、ログとして放り込めば接続場所だって分かっちゃうんだ。
特殊な手法を使った分析じゃなくたって、単なるキーワードのリレーションが取れれば、結構いろんな事が分かっちゃう。もちろん集合の考え方を用いて分類、分析できれば、それ以上の事が分かったりするね。この通信パターンを取るユーザは、こういうサイトを見がちとか。
残念ながら対象が内向きになりがちなので、ちょっとつまんないかも。でも、ログをあえて作れば、もっといろんな事が分かりそうだ。