Онлайн робочі станції OnWorks Linux та Windows

логотип

Безкоштовний онлайн-хостинг для робочих станцій

<Попередній | зміст | Наступна>

7.5.1. Журнали моніторингу с перевірка журналу


Команда перевірка журналу програма відстежує файли журналів щогодини за замовчуванням і надсилає незвичайні повідомлення журналу електронною поштою адміністратору для подальшого аналізу.

Список відстежуваних файлів зберігається в /etc/logcheck/logcheck.logfiles. Значення за замовчуванням працюють нормально, якщо /etc/rsyslog.conf файл не був повністю перероблений.

перевірка журналу може звітувати з різними рівнями деталізації: параноїдальний, сервер та робоча станція. параноїдальний is дуже багатослівний і, ймовірно, має бути обмежений певними серверами, такими як брандмауери. сервер є режимом за замовчуванням і рекомендований для більшості серверів. робоча станція Очевидно, призначений для робочих станцій і надзвичайно стисло, відфільтровуючи більше повідомлень, ніж інші варіанти.

У всіх трьох випадках, перевірка журналу ймовірно, його слід налаштувати, щоб виключити деякі додаткові повідомлення (залежно від встановлених служб), якщо ви дійсно не хочете отримувати щогодинні пакети довгих нецікавих листів. Оскільки механізм вибору повідомлень досить складний, /usr/share/doc/ logcheck-database/README.logcheck-database.gz є обов’язковим — якщо це складно — прочитати.

Застосовані правила можна розділити на кілька типів:


• ті, які кваліфікують повідомлення як спробу злому (зберігаються у файлі в /etc/logcheck/ cracking.d/ довідник);

• ігноруються спроби злому (/etc/logcheck/cracking.ignore.d/);

• ті, хто класифікує повідомлення як попередження безпеки (/etc/logcheck/violations.d/);

• ігноровані сповіщення системи безпеки (/etc/logcheck/violations.ignore.d/);

• нарешті, ті, що застосовуються до решти повідомлень (вважаються як системні події).

ігнорувати.d файли використовуються для (очевидно) ігнорування повідомлень. Наприклад, повідомлення, позначене як спроба злому або сповіщення безпеки (відповідно до правила, збереженого в /etc/logcheck/violations.d/myfile файл) можна ігнорувати лише правилом у a /etc/logcheck/violations.ignore.d/myfile or /etc/logcheck/violations.ignore.d/myfile-розширення файлу.

Системна подія завжди сигналізується, якщо не вказано правило в одному з /etc/logcheck/ignore.d.

У каталогах {paranoid,server,workstation}/ зазначено, що подію слід ігнорувати. Звичайно, враховуються лише каталоги, які відповідають рівням детальності, рівним або більшим за вибраний режим роботи.


  

 

<Попередній | зміст | Наступна>

  

Найпопулярніші хмарні обчислення ОС на OnWorks: