Безспорен факт е, че регистрационните файлове играят важна роля при разкриването на софтуерни или системни проблеми, както и на злонамерени дейности. Въпреки това, с толкова много лог файлове и много информация във всяка от тях, за администраторите на системата е малко трудно да ги анализират правилно.

Въпреки че има много инструменти, които са в състояние да анализират дневници и да генерират смислена информация, ако търсите добра алтернатива за команден ред, бих ви препоръчал да използвате logcheck. В тази статия ще обсъдим основите на тази команда заедно с функциите, които тя предоставя.

Въведение

Въпреки че в официалната документация на logcheck се казва, че той сканира системни регистрационни файлове за "интересни линии", струва си да се подчертае, че тези "интересни редове" всъщност представляват проблемите и нарушенията в сигурността, които инструментът открива.

Инструментът основно поддържа три нива на филтриране:

  • Сървър : Стандартното ниво, което съдържа правила за много различни демони.
  • Параноид : Ниво, подходящо за машини с висока степен на сигурност, които изпълняват колкото се може по-малко услуги - не го използвайте, ако не можете да се справите с подробните си съобщения.
  • Работна станция : Ниво, подходящо за защитени машини, тъй като филтрира повечето от съобщенията.

По подразбиране logcheck работи като часов cronjob малко след час и след всяко рестартиране и изпраща резултатите до вас в имейл.

Изтегляне и инсталиране

Потребителите на базирани на Debian системи, като Ubuntu, могат лесно да инсталират logcheck, като изпълнят следната команда:

 sudo apt-get инсталирате логчек

Това е препоръчителният начин за инсталиране на инструмента за команден ред, тъй като той ще инсталира версията, която вече е там, в хранилището на вашата Linux дистрибуция. Друга възможност е да инсталирате помощната програма, като я изтеглите от уебсайта на проекта.

Конфигурация

Преди да използвате командата за логче за първи път, трябва да погледнете файла "logcheck.conf", намиращ се в директорията "/ etc / logcheck", тъй като съдържа променливи настройки, които може да искате да промените според вашите изисквания.

Ето няколко снимки от този файл:

Както можете да видите, някои от променливите са активни с техните стойности по подразбиране, докато други са коментирани. Можете да направите промените според вашите изисквания. Например, аз не препоръчвам DATE, както и променливите ATTACKSUBJECT, SECURITYSUBJECT и EVENTSSUBJECT и променям стойността на променливата SENDMAILTO на моя имейл адрес.

Освен "logcheck.conf", в същата директория има файл "logcheck.logfiles", който съдържа списък с лог файлове, които ще бъдат проверени от командата logcheck.

Можете да добавите още файлове в този файл, но се уверете, че всеки запис е добавен в отделен ред.

употреба

Ето някои примери за това, как може да се използва командата за проверка:

Забележка : Всички примери, представени в тази статия, се тестват на Ubuntu 14.04.

Изпратете незабавно имейл

Докато logcheck изпраща периодично имейл съобщенията по подразбиране, можете да използвате опцията -m за да я принудите да я изпрати незабавно. Например, когато изпълних следната команда:

 logcheck -m

Следният имейл бе доставен в моята пощенска кутия:

Забележка :
1. Можете да използвате опцията -h, последвана от име на хост, за да използвате това име на хост в темата на имейла.

2. Можете да използвате опцията -o за да изпратите отчета на stdout, а не по имейл.

Замяна на списъците по подразбиране за регистрационните файлове и конфигурационните файлове

Както вече беше обсъдено, командата "логчек" използва по подразбиране файловете "/etc/logcheck/logcheck.logfiles" и "/etc/logcheck/logcheck.conf" за четене на журналните файлове, които ще се наблюдават, и на собствените си конфигурационни настройки. Но можете да промените това поведение и да имате командата чете файлове, намиращи се на всяко друго място, като използвате опциите -L и -C .

Например, следната команда би прочетела "mylogcheck.conf", намираща се в моята домашна директория:

 logcheck -C /home/himanshu/mylogcheck.conf

По същия начин следващата команда щеше да прочете "mylogcheck.logfiles" в моята домашна директория:

 logcheck -L /home/himanshu/mylogcheck.logfiles

Забележка : Можете също така да използвате опцията -r командния ред, последвана от име на директория, за да замени директорията с правила по подразбиране.

Запазвайте компенсациите на логаритмите, като използвате опцията -t

Командата за логчек използва програма, наречена "logtail", която помни последната позиция, която чете в дневника. Но ако искате да стартирате командата в режим на тестване, т.е. без да актуализирате отместването на логаритмите, можете да използвате опцията -t .

Следната команда ще съобщи за проблеми или нарушения на сигурността, но няма да актуализира компенсациите:

 logcheck -t

За повече информация относно тази команда, преминете през нейната страница.

заключение

Logcheck е не само лесен за използване, но и изключително адаптивен. Бих казал, че това е задължителен инструмент за всеки системен администратор преди всичко поради неговите възможности. Използвали ли сте някога "логчек"? Как беше вашият опит? Споделете вашите мисли в коментарите по-долу.