문서7.5.1. 로그 모니터링 로그체크
XNUMXD덴탈의 로그체크 프로그램은 기본적으로 매시간 로그 파일을 모니터링하고 추가 분석을 위해 관리자에게 이메일로 비정상적인 로그 메시지를 보냅니다.
모니터링되는 파일 목록은 다음 위치에 저장됩니다. /etc/logcheck/logcheck.logfiles. 다음과 같은 경우 기본값이 제대로 작동합니다. /etc/rsyslog.conf 파일이 완전히 점검되지 않았습니다.
로그체크 다양한 세부 수준으로 보고할 수 있습니다. 편집증, 섬기는 사람및 워크 스테이션. 편집증 is 대단히 장황하고 아마도 방화벽과 같은 특정 서버로 제한되어야 합니다. 섬기는 사람 기본 모드이며 대부분의 서버에 권장됩니다. 워크 스테이션 분명히 워크스테이션용으로 설계되었으며 매우 간결하여 다른 옵션보다 더 많은 메시지를 걸러냅니다.
세 가지 경우 모두, 로그체크 흥미롭지 않은 긴 이메일을 매시간 일괄적으로 받고 싶지 않다면 일부 추가 메시지(설치된 서비스에 따라 다름)를 제외하도록 사용자 정의해야 합니다. 메시지 선택 메커니즘이 다소 복잡하기 때문에 /usr/share/doc/logcheck-database/README.logcheck-database.gz 어려운 경우 필수 읽기입니다.
적용된 규칙은 여러 유형으로 나눌 수 있습니다.
• 메시지를 크래킹 시도로 규정하는 메시지( /etc/logcheck/ cracking.d/ 예배 규칙서);
• 크래킹 시도 무시(/etc/logcheck/craking.ignore.d/);
• 메시지를 보안 경고로 분류하는 사용자(/etc/logcheck/violations.d/);
• 무시된 보안 경고(/etc/logcheck/violations.ignore.d/);
• 마지막으로 나머지 메시지에 적용되는 메시지( 시스템 이벤트).
무시.d 파일은 (분명히) 메시지를 무시하는 데 사용됩니다. 예를 들어 크래킹 시도 또는 보안 경고로 태그가 지정된 메시지( /etc/logcheck/violations.d/myfile 파일)의 규칙에 의해서만 무시될 수 있습니다. /etc/logcheck/violations.ignore.d/myfile or /etc/logcheck/violations.ignore.d/myfile-확장자 파일.
다음 중 하나의 규칙이 없는 한 시스템 이벤트는 항상 신호를 받습니다. /etc/logcheck/ignore.d.
{paranoid,server,workstation}/ 디렉토리는 이벤트를 무시해야 한다고 명시합니다. 물론 고려되는 유일한 디렉토리는 선택한 작동 모드와 같거나 더 큰 세부 수준에 해당하는 디렉토리입니다.