Неоспоримым фактом является то, что журналы играют важную роль в обнаружении проблем с программным обеспечением или системой, а также вредоносных действий. Однако из-за такого большого количества файлов журналов и большого количества информации в каждом из них системным администраторам становится немного сложнее их правильно анализировать.
Хотя существует множество инструментов, способных анализировать журналы и получать значимую информацию, если вы ищете хорошую альтернативу командной строке, я бы посоветовал вам использовать проверка журнала . В этой статье мы обсудим основы этой команды и предоставляемые ею функции.
Contents
Введение
Хотя в официальной документации logcheck говорится, что он сканирует системные журналы на наличие «интересных строк», стоит подчеркнуть, что эти «интересные строки» на самом деле являются проблемами и нарушениями безопасности, которые обнаруживает инструмент.
Инструмент в основном поддерживает три уровня фильтрации:
- Сервер : уровень по умолчанию, содержащий правила для множества различных демонов.
- Параноик : уровень, подходящий для компьютеров с высоким уровнем безопасности, на которых работает как можно меньше служб. Не используйте его, если вы не можете справиться с его подробными сообщениями.
- Рабочая станция : уровень, подходящий для защищенных машин, поскольку он фильтрует большую часть сообщений.
По умолчанию проверка журнала запускается как ежечасное задание cron каждый час и после каждой перезагрузки и отправляет вам результаты по электронной почте.
Загрузить и установить
Пользователи систем на базе Debian, таких как Ubuntu, могут легко установить logcheck, выполнив следующую команду:
sudo apt-get install logcheck
Это рекомендуемый способ установки инструмента командной строки, поскольку он установит версию, которая уже имеется в репозитории вашего дистрибутива Linux. Кроме того, вы также можете установить утилиту, загрузив ее с сайт проекта .
Конфигурация
Прежде чем использовать команду logcheck в первый раз, вам следует взглянуть на файл «logcheck.conf», расположенный внутри каталога «/etc/logcheck», поскольку он содержит настройки переменных, которые вы, возможно, захотите изменить в соответствии со своими требованиями..
Вот несколько снимков этого файла:
Как видите, некоторые переменные активны со значениями по умолчанию, а другие прокомментированы. Вы можете внести изменения в соответствии с вашими требованиями. Например, я раскомментировал DATE, а также переменные ATTACKSUBJECT, SECURITYSUBJECT и EVENTSSUBJECT и изменил значение переменной SENDMAILTO на свой адрес электронной почты.
Помимо «logcheck.conf», в том же каталоге имеется также файл «logcheck.logfiles», который содержит список файлов журналов, которые будут проверены командой logcheck.
Вы можете добавить в этот файл дополнительные файлы журналов, но убедитесь, что каждая запись добавляется в отдельную строку.
Использование
Вот несколько примеров использования команды logcheck:
Примечание : все примеры, представленные в этой статье, протестированы на Ubuntu 14.04.
Отправить электронное письмо немедленно
Хотя logcheck по умолчанию периодически отправляет электронную почту, вы можете использовать опцию -m
, чтобы заставить его отправлять письмо немедленно. Например, когда я выполнил следующую команду:
logcheck -m
На мой почтовый ящик было доставлено следующее письмо:
Примечание :
1. Вы можете использовать параметр -h
, за которым следует имя хоста, чтобы использовать это имя хоста в теме электронного письма.
2. Вы можете использовать опцию -o
, чтобы отправить отчет на стандартный вывод, а не по электронной почте.
Переопределить списки файлов журнала и файлов конфигурации по умолчанию
Как уже обсуждалось, по умолчанию команда logcheck использует файлы «/etc/logcheck/logcheck.logfiles» и «/etc/logcheck/logcheck.conf» для чтения отслеживаемых файлов журналов и собственных настроек конфигурации. соответственно. Но вы можете изменить это поведение и заставить команду читать файлы, расположенные в любом другом месте, используя параметры -L
и -C
.
Например, следующая команда будет читать «mylogcheck.conf», расположенный в моем домашнем каталоге:
logcheck -C /home/himanshu/mylogcheck.conf
Аналогично, следующая команда прочитает «mylogcheck.logfiles», присутствующий в моем домашнем каталоге:
logcheck -L /home/himanshu/mylogcheck.logfiles
Примечание. Вы также можете использовать параметр командной строки -r
, за которым следует имя каталога, чтобы переопределить каталог правил по умолчанию.
Сохраните смещения файла журнала, используя опцию -t
Команда logcheck использует программу под названием «logtail», которая запоминает последнюю позицию, с которой она читала файл журнала. Но если вы хотите запустить команду в тестовом режиме, т. е. без обновления смещений файла журнала, вы можете использовать опцию -t
.
Следующая команда сообщит о проблемах или нарушениях безопасности, но не обновит смещения:
logcheck -t
Для получения дополнительной информации об этой команде просмотрите ее справочная страница .
Заключение
Logcheck не только прост в использовании, но и легко настраивается. Я бы сказал, что это обязательный инструмент для любого системного администратора, прежде всего из-за его возможностей. Вы когда-нибудь использовали logcheck? Как прошел ваш опыт? Поделитесь своими мыслями в комментариях ниже.