ドキュメント7.5.1. ログの監視 ログチェック
当学校区の ログチェック プログラムは、デフォルトで 1 時間ごとにログ ファイルを監視し、異常なログ メッセージを管理者に電子メールで送信してさらに分析します。
監視対象ファイルのリストは以下に保存されます。 /etc/logcheck/logcheck.logfilesデフォルト値は、 /etc/rsyslog.conf ファイルは完全には見直されていません。
ログチェック さまざまな詳細レベルでレポートできます。 妄想, , . 妄想 is 非常に 冗長なので、ファイアウォールなどの特定のサーバーに制限する必要があります。 はデフォルトのモードであり、ほとんどのサーバーに推奨されます。 明らかにワークステーション向けに設計されており、非常に簡潔で、他のオプションよりも多くのメッセージをフィルタリングします。
これら3つのケースすべてにおいて、 ログチェック インストール済みのサービスに応じて、不要なメッセージを除外するようにカスタマイズする必要があるでしょう。ただし、1時間ごとに長文で興味のないメールを大量に受信したくない場合は別です。メッセージの選択メカニズムはかなり複雑なので、 /usr/share/doc/logcheck-database/README.logcheck-database.gz 難しい内容ではありますが、必読です。
適用されるルールは、いくつかのタイプに分けられます。
• メッセージをクラッキングの試みとみなすもの(ファイルに保存されているもの) /etc/logcheck/ cracking.d/ ディレクトリ);
• 無視されたクラッキングの試み(/etc/logcheck/cracking.ignore.d/);
• メッセージをセキュリティ警告として分類するもの(/etc/logcheck/違反.d/);
• セキュリティ警告を無視した(/etc/logcheck/違反.ignore.d/);
• 最後に、残りのメッセージに適用されるもの( システムイベント).
無視する。 ファイルは(当然のことながら)メッセージを無視するために使用されます。例えば、クラッキングの試みやセキュリティ警告(ファイルに保存されたルールに従う)としてタグ付けされたメッセージは、 /etc/logcheck/violations.d/myfile ファイル)は、 /etc/logcheck/violations.ignore.d/myfile or /etc/ logcheck/violations.ignore.d/myfile- ファイルにソフトウェアを指定する必要があります。
システムイベントは、以下のいずれかのルールが満たされない限り、常に通知されます。 /etc/logcheck/ignore.d です。
{paranoid,server,workstation}/ ディレクトリは、イベントを無視することを示します。もちろん、考慮されるのは、選択した操作モードと同等以上の詳細レベルに対応するディレクトリのみです。