seci-log 1.12 发布 增加了http 旁路抓包审计

日志分析软件 seci-log 1.12发布，增加了增加了http 旁路抓包审计。上篇文章http://www.oschina.net/news/64725/seci-log-1-11，有兴趣可以了解一下。增加内容如下：

seci-log主要的功能是做日志分析，但有时候也苦于没有日志很多时候没有办法下手，之前有个使用者提出了sniffer http协议进行审计的需求，发现这个需求具有普遍性。于是这两周就重点做了http 旁路抓包审计。

日志源，刚开始研究了snort，Xplico等软件，发现并不能很好的支持http协议的审计，也许没有研究透。后面发现httpry 能比较好的支持http协议审计，于是就在httpry的基础做了日志源审计功能，主要对httpry增加了syslog协议的支持，让他能更好的吧审计到的协议吐出来。

代码托管位置：https://github.com/zhulinu/secihttp。

在rsyslog.conf增加local0.*                                                @收集器IP 

这样配置好后。重启syslog服务

然后把交换机的端口镜像指过来。

运行： ./secihttp -g &

如果配置都争取的情况下，只要有日志就可以看到下面类似的审计记录。

这个功能可以在服务提供商或者企业审核中都比较有用。

当服务提供商有很多网站的时候，可以在核心交换机上进行端口镜像，这样就可以直接审计到所有的http协议了，不用在每台机器上进行web日志分析了。

当企业需要审计的时候，也可以在出口核心交换机的位置进行端口镜像，可以得到单位内的上网行为。