Dokumentasi<Sebelumnya | Konten | Selanjutnya>
7.5.1. Memantau Log dengan cek log
Grafik cek log program memonitor file log setiap jam secara default dan mengirimkan pesan log yang tidak biasa dalam email ke administrator untuk analisis lebih lanjut.
Daftar file yang dipantau disimpan di /etc/logcheck/logcheck.logfiles. Nilai default berfungsi dengan baik jika /etc/rsyslog.conf file belum sepenuhnya dirombak.
cek log dapat melaporkan dalam berbagai tingkat detail: paranoid, Server, dan workstation. paranoid is sangat verbose dan mungkin harus dibatasi untuk server tertentu seperti firewall. Server adalah mode default dan direkomendasikan untuk sebagian besar server. workstation jelas dirancang untuk workstation dan sangat singkat, menyaring lebih banyak pesan daripada opsi lainnya.
Dalam ketiga kasus tersebut, cek log mungkin harus disesuaikan untuk mengecualikan beberapa pesan tambahan (bergantung pada layanan yang diinstal), kecuali jika Anda benar-benar ingin menerima kumpulan email panjang yang tidak menarik setiap jam. Karena mekanisme pemilihan pesan agak rumit, /usr/share/doc/logcheck-database/README.logcheck-database.gz adalah bacaan wajib—jika menantang.
Aturan yang diterapkan dapat dibagi menjadi beberapa jenis:
• pesan yang memenuhi syarat sebagai upaya cracking (disimpan dalam file di /etc/logcheck/ cracking.d/ direktori);
• upaya cracking yang diabaikan (/etc/logcheck/cracking.ignore.d/);
• mereka yang mengklasifikasikan pesan sebagai peringatan keamanan (/etc/logcheck/violations.d/);
• peringatan keamanan yang diabaikan (/etc/logcheck/violations.ignore.d/);
• akhirnya, mereka yang melamar ke pesan yang tersisa (dianggap sebagai acara sistem).
abaikan.d file digunakan untuk (jelas) mengabaikan pesan. Misalnya, pesan yang ditandai sebagai upaya peretasan atau peringatan keamanan (mengikuti aturan yang disimpan dalam a /etc/logcheck/violations.d/myfile file) hanya dapat diabaikan oleh aturan di a /etc/logcheck/violations.ignore.d/myfile or /etc/logcheck/violations.ignore.d/myfile-perpanjangan file.
Peristiwa sistem selalu ditandai kecuali aturan di salah satu dari /etc/logcheck/ignore.d.
{paranoid,server,workstation}/ menyatakan bahwa acara tersebut harus diabaikan. Tentu saja, satu-satunya direktori yang diperhitungkan adalah direktori yang sesuai dengan tingkat verbositas yang sama atau lebih besar dari mode operasi yang dipilih.