Dökümanlar7.5.1. İle Günlükleri İzleme kayıt kontrolü
The kayıt kontrolü program varsayılan olarak günlük dosyalarını her saat başı izler ve daha fazla analiz için yöneticiye e-postalarda olağandışı günlük mesajları gönderir.
İzlenen dosyaların listesi şurada saklanır: /etc/logcheck/logcheck.logfiles. Varsayılan değerler, aşağıdaki durumlarda iyi çalışır: /etc/rsyslog.conf dosya tamamen elden geçirilmedi.
kayıt kontrolü çeşitli ayrıntı düzeylerinde rapor verebilir: paranoid, sunucu, ve iş istasyonu. paranoid is çok ayrıntılıdır ve muhtemelen güvenlik duvarları gibi belirli sunucularla sınırlandırılmalıdır. sunucu varsayılan moddur ve çoğu sunucu için önerilir. iş istasyonu açıkçası iş istasyonları için tasarlanmıştır ve son derece özlüdür, diğer seçeneklerden daha fazla mesajı filtreler.
Her üç durumda da, kayıt kontrolü Saatlik, uzun, ilginç olmayan e-postalar almak istemiyorsanız, muhtemelen bazı ekstra mesajları (yüklü hizmetlere bağlı olarak) hariç tutacak şekilde özelleştirilmelidir. Mesaj seçim mekanizması oldukça karmaşık olduğundan, /usr/share/doc/logcheck-database/README.logcheck-database.gz zorunlu - eğer zorsa - bir okumadır.
Uygulanan kurallar birkaç türe ayrılabilir:
• bir mesajı kırma girişimi olarak nitelendirenler (bir dosyada saklanır) /etc/logcheck/ cracking.d/ dizin);
• göz ardı edilen çatlama girişimleri (/etc/logcheck/cracking.ignore.d/);
• bir mesajı güvenlik uyarısı olarak sınıflandıranlar (/etc/logcheck/violations.d/);
• yoksayılan güvenlik uyarıları (/etc/logcheck/violations.ignore.d/);
• son olarak, kalan mesajlara uygulananlar (olarak kabul edilir) sistem olayları).
yoksay.d dosyalar (belli ki) mesajları görmezden gelmek için kullanılır. Örneğin, bir çatlama girişimi veya bir güvenlik uyarısı olarak etiketlenen bir mesaj (bir /etc/logcheck/violations.d/dosyam dosyası) yalnızca bir kural tarafından yoksayılabilir. /etc/logcheck/violations.ignore.d/dosyam or /etc/ logcheck/violations.ignore.d/dosyam-uzatma dosyası.
Bir sistem olayı, aşağıdakilerden birinde bir kural olmadığı sürece her zaman bildirilir. /etc/logcheck/ignore.d.
{paranoid,server,workstation}/ dizinleri olayın yok sayılması gerektiğini belirtir. Elbette, dikkate alınan dizinler, seçilen çalışma moduna eşit veya daha yüksek ayrıntı düzeylerine karşılık gelen dizinlerdir.