dokumentasi<Sebelum | Contents [show] | Seterusnya>
7.5.1. Log Pemantauan dengan semak log
. semak log program memantau fail log setiap jam secara lalai dan menghantar mesej log luar biasa dalam e-mel kepada pentadbir untuk analisis lanjut.
Senarai fail yang dipantau disimpan dalam /etc/logcheck/logcheck.logfiles. Nilai lalai berfungsi dengan baik jika /etc/rsyslog.conf fail belum dirombak sepenuhnya.
semak log boleh melaporkan dalam pelbagai peringkat terperinci: paranoid, server, dan stesen kerja. paranoid is sangat verbose dan mungkin harus dihadkan kepada pelayan tertentu seperti firewall. server ialah mod lalai dan disyorkan untuk kebanyakan pelayan. stesen kerja jelas direka untuk stesen kerja dan sangat ringkas, menapis lebih banyak mesej daripada pilihan lain.
Dalam ketiga-tiga kes, semak log mungkin harus disesuaikan untuk mengecualikan beberapa mesej tambahan (bergantung pada perkhidmatan yang dipasang), melainkan anda benar-benar mahu menerima kumpulan e-mel yang tidak menarik setiap jam. Memandangkan mekanisme pemilihan mesej agak kompleks, /usr/share/doc/ logcheck-database/README.logcheck-database.gz adalah wajib—jika mencabar—dibaca.
Peraturan yang digunakan boleh dibahagikan kepada beberapa jenis:
• yang melayakkan mesej sebagai percubaan memecahkan (disimpan dalam fail dalam /etc/logcheck/ cracking.d/ direktori);
• mengabaikan percubaan meretak (/etc/logcheck/cracking.ignore.d/);
• mereka yang mengklasifikasikan mesej sebagai amaran keselamatan (/etc/logcheck/violations.d/);
• amaran keselamatan diabaikan (/etc/logcheck/violations.ignore.d/);
• akhirnya, mereka yang memohon kepada mesej yang tinggal (dianggap sebagai peristiwa sistem).
abaikan.d fail digunakan untuk (jelas) mengabaikan mesej. Contohnya, mesej yang ditandakan sebagai percubaan retak atau amaran keselamatan (mengikut peraturan yang disimpan dalam a /etc/logcheck/violations.d/myfile fail) hanya boleh diabaikan oleh peraturan dalam a /etc/logcheck/violations.ignore.d/myfile or /etc/ logcheck/violations.ignore.d/myfile-lanjutan fail.
Acara sistem sentiasa diberi isyarat melainkan peraturan dalam salah satu daripada /etc/logcheck/ignore.d.
Direktori {paranoid,server,workstation}/ menyatakan acara itu harus diabaikan. Sudah tentu, satu-satunya direktori yang diambil kira adalah yang sepadan dengan tahap verbositi yang sama atau lebih besar daripada mod operasi yang dipilih.