ГлавнаяОперационные системыLinuxИспользуйте Logcheck для выявления проблем и нарушений безопасности в файлах системного журнала...

Используйте Logcheck для выявления проблем и нарушений безопасности в файлах системного журнала [Linux]

linux_humor-fat-penguinНеоспоримым фактом является то, что журналы играют важную роль в обнаружении проблем с программным обеспечением или системой, а также вредоносных действий. Однако из-за такого большого количества файлов журналов и большого количества информации в каждом из них системным администраторам становится немного сложнее их правильно анализировать.

Хотя существует множество инструментов, способных анализировать журналы и получать значимую информацию, если вы ищете хорошую альтернативу командной строке, я бы посоветовал вам использовать проверка журнала . В этой статье мы обсудим основы этой команды и предоставляемые ею функции.

Введение

Хотя в официальной документации logcheck говорится, что он сканирует системные журналы на наличие «интересных строк», стоит подчеркнуть, что эти «интересные строки» на самом деле являются проблемами и нарушениями безопасности, которые обнаруживает инструмент.

Инструмент в основном поддерживает три уровня фильтрации:

  • Сервер : уровень по умолчанию, содержащий правила для множества различных демонов.
  • Параноик : уровень, подходящий для компьютеров с высоким уровнем безопасности, на которых работает как можно меньше служб. Не используйте его, если вы не можете справиться с его подробными сообщениями.
  • Рабочая станция : уровень, подходящий для защищенных машин, поскольку он фильтрует большую часть сообщений.

По умолчанию проверка журнала запускается как ежечасное задание cron каждый час и после каждой перезагрузки и отправляет вам результаты по электронной почте.

Загрузить и установить

Пользователи систем на базе Debian, таких как Ubuntu, могут легко установить logcheck, выполнив следующую команду:

sudo apt-get install logcheck

Это рекомендуемый способ установки инструмента командной строки, поскольку он установит версию, которая уже имеется в репозитории вашего дистрибутива Linux. Кроме того, вы также можете установить утилиту, загрузив ее с сайт проекта .

Конфигурация

Прежде чем использовать команду logcheck в первый раз, вам следует взглянуть на файл «logcheck.conf», расположенный внутри каталога «/etc/logcheck», поскольку он содержит настройки переменных, которые вы, возможно, захотите изменить в соответствии со своими требованиями..

Вот несколько снимков этого файла:

параметры конфигурации-logcheck

logcheck-configuration-options-more

Как видите, некоторые переменные активны со значениями по умолчанию, а другие прокомментированы. Вы можете внести изменения в соответствии с вашими требованиями. Например, я раскомментировал DATE, а также переменные ATTACKSUBJECT, SECURITYSUBJECT и EVENTSSUBJECT и изменил значение переменной SENDMAILTO на свой адрес электронной почты.

Помимо «logcheck.conf», в том же каталоге имеется также файл «logcheck.logfiles», который содержит список файлов журналов, которые будут проверены командой logcheck.

logcheck-файлы журналов

Вы можете добавить в этот файл дополнительные файлы журналов, но убедитесь, что каждая запись добавляется в отдельную строку.

Использование

Вот несколько примеров использования команды logcheck:

Примечание : все примеры, представленные в этой статье, протестированы на Ubuntu 14.04.

Отправить электронное письмо немедленно

Хотя logcheck по умолчанию периодически отправляет электронную почту, вы можете использовать опцию -m, чтобы заставить его отправлять письмо немедленно. Например, когда я выполнил следующую команду:

logcheck -m

На мой почтовый ящик было доставлено следующее письмо:

logcheck-email

Примечание :
1. Вы можете использовать параметр -h, за которым следует имя хоста, чтобы использовать это имя хоста в теме электронного письма.

2. Вы можете использовать опцию -o, чтобы отправить отчет на стандартный вывод, а не по электронной почте.

Переопределить списки файлов журнала и файлов конфигурации по умолчанию

Как уже обсуждалось, по умолчанию команда logcheck использует файлы «/etc/logcheck/logcheck.logfiles» и «/etc/logcheck/logcheck.conf» для чтения отслеживаемых файлов журналов и собственных настроек конфигурации. соответственно. Но вы можете изменить это поведение и заставить команду читать файлы, расположенные в любом другом месте, используя параметры -Lи -C.

Например, следующая команда будет читать «mylogcheck.conf», расположенный в моем домашнем каталоге:

logcheck -C /home/himanshu/mylogcheck.conf

Аналогично, следующая команда прочитает «mylogcheck.logfiles», присутствующий в моем домашнем каталоге:

logcheck -L /home/himanshu/mylogcheck.logfiles

Примечание. Вы также можете использовать параметр командной строки -r, за которым следует имя каталога, чтобы переопределить каталог правил по умолчанию.

Сохраните смещения файла журнала, используя опцию -t

Команда logcheck использует программу под названием «logtail», которая запоминает последнюю позицию, с которой она читала файл журнала. Но если вы хотите запустить команду в тестовом режиме, т. е. без обновления смещений файла журнала, вы можете использовать опцию -t.

Следующая команда сообщит о проблемах или нарушениях безопасности, но не обновит смещения:

logcheck -t

Для получения дополнительной информации об этой команде просмотрите ее справочная страница .

Заключение

Logcheck не только прост в использовании, но и легко настраивается. Я бы сказал, что это обязательный инструмент для любого системного администратора, прежде всего из-за его возможностей. Вы когда-нибудь использовали logcheck? Как прошел ваш опыт? Поделитесь своими мыслями в комментариях ниже.

ПОХОЖИЕ СТАТЬИ

Популярные записи