مراقبة السجلات مع التحقق من السجل من دليل Kali Linux بواسطة OnWorks

انتقل إلى المحتوى

7.5.1. سجلات المراقبة مع تسجيل الدخول‌

• تسجيل الدخول يراقب البرنامج ملفات السجل كل ساعة بشكل افتراضي ويرسل رسائل سجل غير عادية في رسائل البريد الإلكتروني إلى المسؤول لمزيد من التحليل.

يتم تخزين قائمة الملفات المراقبة بتنسيق /etc/logcheck/logcheck.logfiles. تعمل القيم الافتراضية بشكل جيد إذا كان ملف /etc/rsyslog.conf لم يتم إصلاح الملف بالكامل.

تسجيل الدخول يمكن الإبلاغ بمستويات مختلفة من التفاصيل: جنون العظمة, الخادمو محطة العمل. جنون العظمة is جدا مطول وربما يجب أن يقتصر على خوادم معينة مثل جدران الحماية. الخادم هو الوضع الافتراضي ويوصى به لمعظم الخوادم. محطة العمل من الواضح أنه مصمم لمحطات العمل وهو مقتضب للغاية ، حيث يقوم بتصفية رسائل أكثر من الخيارات الأخرى.

في جميع الحالات الثلاث ، تسجيل الدخول ربما يجب تخصيصها لاستبعاد بعض الرسائل الإضافية (المعلقة على الخدمات المثبتة) ، إلا إذا كنت تريد حقًا تلقي دفعات كل ساعة من رسائل البريد الإلكتروني الطويلة غير المرغوب فيها. نظرًا لأن آلية اختيار الرسالة معقدة نوعًا ما ، / usr / share / doc / logcheck-database / README.logcheck-database.gz هو مطلوب - إذا كان التحدي - قراءة.

يمكن تقسيم القواعد المطبقة إلى عدة أنواع:

• تلك التي تصف الرسالة بأنها محاولة اختراق (مخزنة في ملف في / etc / logcheck / cracking.d / الدليل)؛

• تجاهل محاولات الاختراق (/etc/logcheck/cracking.ignore.d/);

• أولئك الذين يصنفون رسالة على أنها تنبيه أمني (/etc/logcheck/violations.d/);

• تجاهل التنبيهات الأمنية (/etc/logcheck/violations.ignore.d/);

• أخيرًا ، أولئك الذين تنطبق عليهم الرسائل المتبقية (تعتبر أحداث النظام).

يتجاهل د تستخدم الملفات (من الواضح) لتجاهل الرسائل. على سبيل المثال ، الرسالة التي تم وضع علامة عليها كمحاولة اختراق أو تنبيه أمان (باتباع قاعدة مخزنة في ملف /etc/logcheck/violations.d/myfile file) فقط من خلال قاعدة في ملف /etc/logcheck/violations.ignore.d/myfile or / etc / logcheck /uses.ignore.d / myfile-تمديد ملف.

يتم دائمًا الإشارة إلى حدث النظام ما لم يكن هناك قاعدة في أحد ملفات /etc/logcheck/ignore.d.

تنص {paranoid، server، workstation} / الدلائل على أنه يجب تجاهل الحدث. بالطبع ، الدلائل الوحيدة التي يتم أخذها في الاعتبار هي تلك التي تتوافق مع مستويات الإسهاب التي تساوي أو تزيد عن وضع التشغيل المحدد.

<السابق | المحتويات | التالي>