Я запускаю свій власний сервер вдома для мого особистого веб-сайту під керуванням Ubuntu Server з Apache, Bind9 та Django. Які журнали ви б запропонували найкраще регулярно відслідковувати? (а не на основі читання, коли щось піде не так). Я думаю про виявлення спроб вторгнення (я раніше зазнавав помилок SSH) та незвичних трафіку чи помилок на своєму сайті.
Відповіді:
Журнали інтересів:
Я використовую пакет logwatch для моніторингу трафіку SMTP та входу SSH та спроб аутентифікації. Він доступний у більшості дистрибутивів Linux, включаючи Ubuntu за замовчуванням.
aptitude install logwatch
У минулому я також використовував logsurfer +, який є складним програмним забезпеченням, але дуже налаштований.
Якщо жоден із цих інструментів (logwatch, logsurfer +) не відповідає вашим потребам, існує велика кількість рішень для управління журналами від різних постачальників. Від програмних пакетів до спеціальних пристроїв. Ось декілька для початку, якщо ви хочете зробити додаткові дослідження. Я не пов'язаний з жодною з цих компаній або продуктів.
Я пропоную використовувати OSSEC для контролю ваших журналів. Він автоматично визначатиме важливі файли журналу та за замовчуванням відстежує їх усі в режимі реального часу.
Якщо ви використовуєте Ubuntu, він буде переглядати всі журнали автентифікації, журнали apache, журнали apt-get (щоб побачити, коли встановлені нові програми) тощо.
Він є відкритим кодом, має активну команду з розробки та простий у використанні. Ми перейшли до нього з logwatch, тому що він дивиться журнали в режимі реального часу, а не робити це кожні X години, як це робить годинник журналу.
Посилання: http://www.ossec.net
Я, як правило, переглядаю вищезазначені файли, але в основному файли syslog (/ var / log / messages). Зазвичай я встановлюю syslog-ng, щоб забезпечити кращу фільтрацію, і я налаштовував syslog, щоб увійти як * .debug, щоб я міг бачити все. Це все читає сценарій оболонки, коріння якого є корінням у logcheck.sh (вибачте, втратив посилання) і щодня надсилає мені цікаві елементи. Це збільшує кількість шуму, який важко відфільтрувати, але я використовую рівень шуму як перевірку здоров’я - якщо рівень шуму раптово збільшується або зменшується, щось змінилося.
У мене є одне застереження щодо logwatch, і це "на що" звернути увагу. Я написав / використовую інструмент під назвою petit для виявлення і співвіднесення слів. Для видалення зупинок слово використовує пару простих прийомів з обробки природних мов. Це допомагає адміністратору / аналітику, відповідальному за аналіз журналу, відчувати себе впевненіше, що він / вона справді ловить усі події, які він / вона хоче провести за допомогою лотчергу.
Це основна проблема з куркою / яйцями, як я знаю, що мені потрібно шукати, поки я не бачив цього раніше. У цьому допомагає режим відкриття слова petit. Крім того, він забезпечує графіку кліпів та хешування.
Посилання: http://opensource.eyemg.com/Petit