[GTER] Packet logger

mail gter mail.gter at gmail.com
Sun Apr 14 14:03:28 -03 2013


Bom dia,

Um cliente me solicitou essa semana uma solução para salvar o histórico de
pacotes transmitidos através de sua rede. Pelo que entendi ele precisa
manter os logs para fins de auditoria em virtude algumas demandas
judiciais. O cliente em específico é um ISP com cerca de 50Mbps de tráfego
(máximo)

Nunca implantei nada parecido. Pensei em fazer um "port mirror" da porta do
router de borda para um servidor com Snort em modo Packet logger. O Snort
salva os "logs" no formato PCAP o que facilitaria a manipulação posterior
(tcpdump/wireshark).

Minha dúvida quanto ao Snort é se seria possível "ignorar" os cabeçalhos
das camadas de enlace e aplicação, pois os mesmos são desnecessários,
mantê-los causaria um aumento significativo na necessidade de espaço.


Alguém já implantou algo desse gênero ?


Obrigado.



More information about the gter mailing list