การตรวจสอบบันทึกด้วยการตรวจสอบบันทึกจาก Kali Linux Guide โดย OnWorks

ข้ามไปที่เนื้อหา

7.5.1. การตรวจสอบบันทึกด้วย บันทึกเช็ค‌

พื้นที่ บันทึกเช็ค โปรแกรมตรวจสอบไฟล์บันทึกทุก ๆ ชั่วโมงโดยค่าเริ่มต้นและส่งข้อความบันทึกที่ผิดปกติในอีเมลไปยังผู้ดูแลระบบเพื่อทำการวิเคราะห์เพิ่มเติม

รายการไฟล์ที่ถูกตรวจสอบจะถูกเก็บไว้ใน /etc/logcheck/logcheck.logfiles. ค่าเริ่มต้นทำงานได้ดีถ้า /etc/rsyslog.conf ไฟล์ยังไม่ได้รับการซ่อมแซมอย่างสมบูรณ์

บันทึกเช็ค สามารถแจ้งรายละเอียดได้หลายระดับ ดังนี้ หวาดระแวง, เซิร์ฟเวอร์และ เวิร์กสเตชัน. หวาดระแวง is มาก ละเอียดและควรจำกัดไว้เฉพาะเซิร์ฟเวอร์เฉพาะ เช่น ไฟร์วอลล์ เซิร์ฟเวอร์ เป็นโหมดเริ่มต้นและแนะนำสำหรับเซิร์ฟเวอร์ส่วนใหญ่ เวิร์กสเตชัน ได้รับการออกแบบมาอย่างชัดเจนสำหรับเวิร์กสเตชันและมีความกระชับอย่างยิ่ง โดยกรองข้อความได้มากกว่าตัวเลือกอื่นๆ

ในทั้งสามกรณี บันทึกเช็ค ควรจะปรับแต่งให้แยกข้อความพิเศษบางส่วนออก (ขึ้นอยู่กับบริการที่ติดตั้ง) เว้นแต่ว่าคุณต้องการรับอีเมลที่ไม่น่าสนใจจำนวนมากเป็นชุดรายชั่วโมง เนื่องจากกลไกการเลือกข้อความค่อนข้างซับซ้อน /usr/share/doc/ logcheck-database/README.logcheck-database.gz เป็นสิ่งที่จำเป็น—หากท้าทาย—อ่าน

กฎที่ใช้สามารถแบ่งออกเป็นหลายประเภท:

• ผู้ที่มีคุณสมบัติข้อความว่าเป็นความพยายามในการถอดรหัส (เก็บไว้ในไฟล์ใน /etc/logcheck/ cracking.d/ ไดเรกทอรี);

• ละเว้นความพยายามในการถอดรหัส (/etc/logcheck/cracking.ignore.d/);

• ผู้ที่จัดประเภทข้อความเป็นการแจ้งเตือนความปลอดภัย (/etc/logcheck/violations.d/);

• ละเว้นการแจ้งเตือนความปลอดภัย (/etc/logcheck/violations.ignore.d/);

• สุดท้าย ผู้ที่นำไปใช้กับข้อความที่เหลือ (ถือว่าเป็น เหตุการณ์ของระบบ).

ละเว้น.d ไฟล์ถูกใช้เพื่อ (ชัด) ละเว้นข้อความ ตัวอย่างเช่น ข้อความที่แท็กเป็นความพยายามในการถอดรหัสหรือการแจ้งเตือนความปลอดภัย (ตามกฎที่จัดเก็บไว้ใน a /etc/logcheck/violations.d/myfile ไฟล์) สามารถละเว้นโดยกฎใน a . เท่านั้น /etc/logcheck/violations.ignore.d/myfile or /etc/ logcheck/violations.ignore.d/myfile-นามสกุล ไฟล์

เหตุการณ์ของระบบจะส่งสัญญาณเสมอเว้นแต่กฎใน /etc/logcheck/ignore.d

{paranoid,server,workstation}/ ไดเร็กทอรีระบุว่าเหตุการณ์ควรถูกละเว้น แน่นอน ไดเรกทอรีเดียวที่นำมาพิจารณาคือไดเรกทอรีที่สอดคล้องกับระดับการใช้คำฟุ่มเฟือยเท่ากับหรือมากกว่าโหมดการทำงานที่เลือก

<ก่อนหน้านี้ | เนื้อหา | ถัดไป>