Brug Logcheck til spotproblemer og sikkerhedsbrud i systemlogfiler [Linux]
Det er en ubestridelig kendsgerning, at logfiler spiller en vigtig rolle i afdækning af software- eller systemproblemer samt skadelige aktiviteter. Men med så mange logfiler og mange oplysninger i hver af dem bliver det lidt svært for systemadministratorer at analysere dem korrekt.
Selv om der er mange værktøjer til rådighed, der er i stand til at analysere logfiler og producerer meningsfuld information, hvis du leder efter en god kommandolinje alternativ, vil jeg foreslå at du bruger logcheck. I denne artikel vil vi diskutere grundlæggende i denne kommando sammen med de funktioner, den giver.
Introduktion
Selvom den officielle dokumentation af logcheck siger, at den scanner systemlogfiler for "interessante linjer", er det værd at understrege, at disse "interessante linjer" faktisk er de problemer og sikkerhedsbrud, som værktøjet opdager.
Værktøjet understøtter grundlæggende tre niveauer af filtrering:
- Server : Standardniveauet, der indeholder regler for mange forskellige dæmoner.
- Paranoid : Et niveau, der er velegnet til højteknologiske maskiner, kører så få tjenester som muligt - brug det ikke, hvis du ikke kan håndtere sine verbose meddelelser.
- Arbejdsstation : Et niveau, der passer til beskyttede maskiner, da det filtrerer de fleste af meddelelserne.
Som standard kører logcheck som en timescronjob lige uden for timen og efter hver genstart og sender resultaterne til dig i en e-mail.
Download og installer
Brugere af Debian-baserede systemer, som Ubuntu, kan nemt installere logcheck ved at udføre følgende kommando:
sudo apt-get install logcheck
Dette er den anbefalede måde at installere kommandolinjeværktøjet på, da det installerer den version, der allerede findes i depotet på din Linux-distribution. Alternativt kan du også installere værktøjet ved at downloade det fra sit projektwebsted.
Konfiguration
Før du bruger logcheck-kommandoen for første gang, skal du kigge på filen "logcheck.conf", der er placeret i mappen / etc / logcheck, da den indeholder variable indstillinger, som du måske vil ændre efter dine behov.
Her er et par snapshots af denne fil:
Som du kan se, er nogle af variablerne aktive med deres standardværdier på plads, mens andre kommenteres. Du kan foretage de ændringer, der passer til dine krav. For eksempel har jeg uncommented DATE såvel som ATTACKSUBJECT, SECURITYSUBJECT og EVENTSSUBJECT variable og ændret værdien af SENDMAILTO variabel til min email adresse.
Udover "logcheck.conf" er der også en "logcheck.logfiles" -fil, der findes i den samme mappe, som indeholder en liste over logfiler, der kontrolleres af logcheck-kommandoen.
Du kan tilføje flere logfiler til denne fil, men sørg for, at hver post er tilføjet i en separat linje.
Anvendelse
Her er nogle eksempler på hvordan logcheck-kommandoen kan bruges:
Bemærk : Alle eksempler, der præsenteres i denne artikel, testes på Ubuntu 14.04.
Send e-mail med det samme
Mens logcheck normalt sender e-mail regelmæssigt, kan du bruge funktionen -m
for at tvinge den til at sende en med det samme. For eksempel, da jeg udførte følgende kommando:
logcheck -m
Følgende email blev leveret til min indbakke:
Bemærk :
1. Du kan bruge indstillingen -h
efterfulgt af et værtsnavn for at bruge det værtsnavn i emnet for e-mailen.
2. Du kan bruge -o
mulighed for at sende rapporten til stdout, snarere end e-mail.
Overstyr standardlisterne for logfil og konfigurationsfil
Som allerede diskuteret bruger logcheck-kommandoen "/etc/logcheck/logcheck.logfiles" og "/etc/logcheck/logcheck.conf" -filer til at læse logfilerne, der skal overvåges, og henholdsvis deres egne konfigurationsindstillinger. Men du kan ændre denne adfærd og få kommandoen til at læse filer placeret på et andet sted ved hjælp af -L
og -C
indstillingerne.
F.eks. Ville følgende kommando læse "mylogcheck.conf" i min hjemmekatalog:
logcheck -C /home/himanshu/mylogcheck.conf
På samme måde ville følgende kommando læse "mylogcheck.logfiles" til stede i min hjemmekatalog:
logcheck -L /home/himanshu/mylogcheck.logfiles
Bemærk : Du kan også bruge kommandolinjen -r
kommandolinjen efterfulgt af et mappenavn for at tilsidesætte standardregistretmappen.
Behold logfileforskydningerne ved hjælp af -t valgmulighed
Logcheck-kommandoen anvender et program kaldet "logtail", der husker den sidste position, den læser fra i en logfil. Men hvis du vil køre kommandoen i testtilstand, dvs. uden at opdatere logfileforskydningerne, kan du bruge -t
indstillingen.
Følgende kommando vil rapportere sikkerhedsproblemer eller overtrædelser, men opdaterer ikke forskydningerne:
logcheck -t
For mere information om denne kommando, gå gennem sin man side.
Konklusion
Logcheck er ikke kun let at bruge, men det er også meget tilpasseligt. Jeg vil sige, at det er et must-have værktøj til enhver systemadministrator primært på grund af dens evner. Har du nogensinde brugt logcheck? Hvordan var din oplevelse? Del dine tanker i kommentarerne nedenfor.