<Precedenti | Contenuti | Succ.>
7.5.1. Log di monitoraggio con logcheck
I logcheck Il programma monitora i file di registro ogni ora per impostazione predefinita e invia messaggi di registro insoliti nelle e-mail all'amministratore per ulteriori analisi.
L'elenco dei file monitorati è archiviato in /etc/logcheck/logcheck.logfiles. I valori predefiniti funzionano bene se il /etc/rsyslog.conf il file non è stato completamente revisionato.
logcheck può riportare con vari livelli di dettaglio: paranoico, servere stazione di lavoro. paranoico is molto prolisso e probabilmente dovrebbe essere limitato a server specifici come i firewall. server è la modalità predefinita ed è consigliata per la maggior parte dei server. stazione di lavoro è ovviamente progettato per le workstation ed è estremamente conciso, filtrando più messaggi rispetto alle altre opzioni.
In tutti e tre i casi, logcheck dovrebbe probabilmente essere personalizzato per escludere alcuni messaggi extra (a seconda dei servizi installati), a meno che non si desideri veramente ricevere batch orari di lunghe e-mail non interessanti. Poiché il meccanismo di selezione dei messaggi è piuttosto complesso, /usr/share/doc/logcheck-database/README.logcheck-database.gz è una lettura obbligatoria, anche se impegnativa.
Le regole applicate possono essere suddivise in diversi tipi:
• quelli che qualificano un messaggio come tentativo di cracking (memorizzati in un file nel /etc/logcheck/cracking.d/ rubrica);
• tentativi di cracking ignorati (/etc/logcheck/cracking.ignore.d/);
• quelli che classificano un messaggio come avviso di sicurezza (/etc/logcheck/violations.d/);
• avvisi di sicurezza ignorati (/etc/logcheck/violations.ignore.d/);
• infine, quelli che si applicano ai restanti messaggi (considerati come eventi di sistema).
ignora.d i file sono usati per (ovviamente) ignorare i messaggi. Ad esempio, un messaggio contrassegnato come tentativo di violazione o avviso di sicurezza (a seguito di una regola archiviata in a /etc/logcheck/violations.d/miofile file) può essere ignorato solo da una regola in a /etc/logcheck/violations.ignore.d/myfile or /etc/logcheck/violations.ignore.d/myfile-estensione file.
Un evento di sistema viene sempre segnalato a meno che una regola in una delle /etc/logcheck/ignore.d.
{paranoid,server,workstation}/ directory afferma che l'evento deve essere ignorato. Ovviamente le uniche directory prese in considerazione sono quelle corrispondenti a livelli di verbosità uguali o superiori alla modalità di funzionamento selezionata.