Documentație7.5.1. Jurnalele de monitorizare cu verificare jurnal
verificare jurnal programul monitorizează fișierele jurnal în fiecare oră în mod implicit și trimite mesaje de jurnal neobișnuite în e-mailuri către administrator pentru o analiză ulterioară.
Lista fișierelor monitorizate este stocată în /etc/logcheck/logcheck.logfiles. Valorile implicite funcționează bine dacă /etc/rsyslog.conf fișierul nu a fost complet revizuit.
verificare jurnal poate raporta la diferite niveluri de detaliu: paranoid, serverul, și Statie de lucru. paranoid is foarte verbose și probabil ar trebui să fie limitată la anumite servere, cum ar fi firewall-urile. serverul este modul implicit și este recomandat pentru majoritatea serverelor. Statie de lucru este în mod evident conceput pentru stațiile de lucru și este extrem de concis, eliminând mai multe mesaje decât celelalte opțiuni.
În toate cele trei cazuri, verificare jurnal ar trebui probabil personalizat pentru a exclude unele mesaje suplimentare (în funcție de serviciile instalate), cu excepția cazului în care doriți cu adevărat să primiți loturi pe oră de e-mailuri lungi neinteresante. Deoarece mecanismul de selectare a mesajelor este destul de complex, /usr/share/doc/ logcheck-database/README.logcheck-database.gz este o lectură obligatorie, dacă este provocatoare.
Regulile aplicate pot fi împărțite în mai multe tipuri:
• cele care califică un mesaj drept o încercare de spargere (stocate într-un fișier din fișierul /etc/logcheck/ cracking.d/ director);
• încercări de spargere ignorate (/etc/logcheck/cracking.ignore.d/);
• cei care clasifică un mesaj ca alertă de securitate (/etc/logcheck/violations.d/);
• alerte de securitate ignorate (/etc/logcheck/violations.ignore.d/);
• în sfârșit, cele care se aplică mesajelor rămase (considerate ca evenimente de sistem).
ignora.d fișierele sunt folosite pentru a ignora (evident) mesajele. De exemplu, un mesaj etichetat ca o încercare de spargere sau o alertă de securitate (urmând o regulă stocată în a /etc/logcheck/violations.d/myfile fișier) poate fi ignorat doar de o regulă din a /etc/logcheck/violations.ignore.d/myfile or /etc/ logcheck/violations.ignore.d/myfile-extensie fișier.
Un eveniment de sistem este întotdeauna semnalat, cu excepția cazului în care o regulă într-unul dintre /etc/logcheck/ignore.d.
{paranoid,server,workstation}/ directoarele afirmă că evenimentul ar trebui ignorat. Desigur, singurele directoare luate în considerare sunt cele corespunzătoare nivelurilor de verbozitate egale sau mai mari decât modul de operare selectat.