<div dir="ltr">Archival and consumption of notifications emitted from Nova / Neutron is one approach.</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jul 23, 2015 at 8:54 AM, Alvise Dorigo <span dir="ltr"><<a href="mailto:alvise.dorigo@pd.infn.it" target="_blank">alvise.dorigo@pd.infn.it</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Dear all<br>
<br>
Let's suppose that a user of an OpenStack based Cloud does something wrong/illegal on the internet, or a VM gets compromised and from that machine something wrong/illegal is done.<br>
<br>
<br>
In this case the local security contact persons could be notified after a while (days, weeks, even some months, when probably that VM doesn't exist anymore) that  a "malicious operations" affecting some IP addresses-ports" was performed on date X from a machine with IP Y.<br>
<br>
The local security contact persons have then to find who created that VM, at least to prevent that .<br>
<br>
If the VM doesn't have a floating IP, the Y IP address that is exposed on the internet (and therefore the one that will be commuticated to the security people) is the one of the OpenStack router.<br>
<br>
Given the private IP of the machine we are able to find the UUID of the VM (even if this was already deleted) and then the id of the relevant user who created it.<br>
But the problem is how to find this private IP address.<br>
<br>
<br>
How this issue can be managed ?<br>
<br>
thanks.<br>
<br>
    Alvise<br>
<br>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org" target="_blank">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
</blockquote></div><br></div>