תיעוד7.5.1. ניטור יומני עם בדיקת יומן
אל האני בדיקת יומן התוכנית עוקבת אחר קובצי יומן כל שעה כברירת מחדל ושולחת הודעות יומן חריגות בדוא"ל למנהל המערכת לצורך ניתוח נוסף.
רשימת הקבצים המנוטרים מאוחסנת ב /etc/logcheck/logcheck.logfiles. ערכי ברירת המחדל עובדים בסדר אם /etc/rsyslog.conf הקובץ לא עבר שיפוץ מלא.
בדיקת יומן יכול לדווח ברמות פירוט שונות: פרנואיד, שרת, ו תחנת עבודה. פרנואיד is מאוד מילולי וככל הנראה צריך להיות מוגבל לשרתים ספציפיים כגון חומות אש. שרת הוא מצב ברירת המחדל ומומלץ לרוב השרתים. תחנת עבודה הוא ללא ספק מיועד לתחנות עבודה והוא מאוד קמצני, מסנן יותר הודעות מהאפשרויות האחרות.
בכל שלושת המקרים, בדיקת יומן כנראה צריך להתאים אישית כדי לא לכלול כמה הודעות נוספות (בהתאם לשירותים המותקנים), אלא אם כן אתה באמת רוצה לקבל קבוצות שעתיות של מיילים ארוכים ולא מעניינים. מכיוון שמנגנון בחירת ההודעות מורכב למדי, /usr/share/doc/ logcheck-database/README.logcheck-database.gz הוא חובה - אם מאתגר - קריאה.
ניתן לפצל את הכללים החלים למספר סוגים:
• אלה שמתייחסים להודעה כניסיון פיצוח (שמאוחסנים בקובץ ב- /etc/logcheck/ cracking.d/ מַדרִיך);
• התעלמו מניסיונות פיצוח (/etc/logcheck/cracking.ignore.d/);
• אלה המסווגים הודעה כהתראת אבטחה (/etc/logcheck/violations.d/);
• התעלמות מהתראות אבטחה (/etc/logcheck/violations.ignore.d/);
• לבסוף, אלה החלים על ההודעות הנותרות (נחשבות כ אירועי מערכת).
להתעלם.ד קבצים משמשים (כמובן) להתעלם מהודעות. לדוגמה, הודעה מתויגת כניסיון פיצוח או התראת אבטחה (בעקבות כלל המאוחסן ב-a /etc/logcheck/violations.d/myfile קובץ) ניתן להתעלם רק על ידי כלל ב-a /etc/logcheck/violations.ignore.d/myfile or /etc/ logcheck/violations.ignore.d/myfile-הארכה קובץ.
אירוע מערכת מסומן תמיד אלא אם כלל באחד מה- /etc/logcheck/ignore.d.
{paranoid,server,workstation}/ ספריות קובעות שיש להתעלם מהאירוע. כמובן, המדריכים היחידים שנלקחו בחשבון הם אלה המתאימות לרמות מילוליות שוות או גדולות ממצב הפעולה שנבחר.