Documentação<Anterior | Conteúdo | Próxima>
7.5.1. Monitorando Logs com verificação de log
A verificação de log O programa monitora arquivos de log a cada hora por padrão e envia mensagens de log incomuns em e-mails para o administrador para análise posterior.
A lista de arquivos monitorados é armazenada em /etc/logcheck/logcheck.logfiles. Os valores padrão funcionam bem se o /etc/rsyslog.conf arquivo não foi completamente revisado.
verificação de log pode relatar em vários níveis de detalhe: paranóia, servidor e estação de trabalho. paranóia is muito verboso e provavelmente deve ser restrito a servidores específicos, como firewalls. servidor é o modo padrão e é recomendado para a maioria dos servidores. estação de trabalho é obviamente projetado para estações de trabalho e é extremamente conciso, filtrando mais mensagens do que as outras opções.
Em todos os três casos, verificação de log provavelmente deve ser personalizado para excluir algumas mensagens extras (dependendo dos serviços instalados), a menos que você realmente queira receber lotes de hora em hora de e-mails longos e pouco interessantes. Uma vez que o mecanismo de seleção de mensagens é bastante complexo, / usr / share / doc / logcheck-database / README.logcheck-database.gz é uma leitura obrigatória - embora desafiadora.
As regras aplicadas podem ser divididas em vários tipos:
• aqueles que qualificam uma mensagem como uma tentativa de cracking (armazenados em um arquivo no / etc / logcheck / cracking.d / diretório);
• tentativas de cracking ignoradas (/etc/logcheck/cracking.ignore.d/);
• aqueles que classificam uma mensagem como um alerta de segurança (/etc/logcheck/violations.d/);
• alertas de segurança ignorados (/etc/logcheck/violations.ignore.d/);
• finalmente, aqueles que se aplicam às mensagens restantes (consideradas como eventos do sistema).
ignorar.d os arquivos são usados para (obviamente) ignorar as mensagens. Por exemplo, uma mensagem marcada como uma tentativa de cracking ou um alerta de segurança (seguindo uma regra armazenada em um /etc/logcheck/violations.d/myfile arquivo) só pode ser ignorado por uma regra em um /etc/logcheck/violations.ignore.d/myfile or / etc / logcheck / violations.ignore.d / myfile-extensão arquivo.
Um evento do sistema é sempre sinalizado, a menos que uma regra em um dos /etc/logcheck/ignore.d.
{paranoid, server, workstation} / diretórios indicam que o evento deve ser ignorado. Obviamente, os únicos diretórios considerados são aqueles correspondentes a níveis de detalhamento iguais ou superiores ao modo de operação selecionado.