文件记录7.5.1. 监控日志 日志检查
这个 日志检查 程序默认每小时监视日志文件,并通过电子邮件将异常日志消息发送给管理员以供进一步分析。
监控文件列表存储在 /etc/logcheck/logcheck.logfiles. 默认值工作正常,如果 /etc/rsyslog.conf 文件还没有完全检修。
日志检查 可以报告各种级别的详细信息: 偏执, 服务器和 工作站. 偏执 is 非常 冗长,可能应该仅限于特定服务器,例如防火墙。 服务器 是默认模式,推荐用于大多数服务器。 工作站 显然是为工作站设计的,而且非常简洁,过滤掉的消息比其他选项多。
在所有三种情况下, 日志检查 可能应该自定义以排除一些额外的消息(取决于已安装的服务),除非您真的想每小时接收一批长而无趣的电子邮件。 由于消息选择机制比较复杂, /usr/share/doc/logcheck-database/README.logcheck-database.gz 是必读的——如果有挑战性——阅读。
应用的规则可以分为几种类型:
• 将消息限定为破解尝试的那些(存储在 /etc/logcheck/cracking.d/ 目录);
• 忽略破解尝试(/etc/logcheck/cracking.ignore.d/);
• 将消息归类为安全警报的那些(/etc/logcheck/violations.d/);
• 忽略的安全警报(/etc/logcheck/violations.ignore.d/);
• 最后,那些应用到剩余消息的(被视为 系统事件).
忽略.d 文件用于(显然)忽略消息。 例如,标记为破解尝试或安全警报的消息(遵循存储在 /etc/logcheck/violations.d/myfile 文件)只能被规则中的规则忽略 /etc/logcheck/violations.ignore.d/myfile or /etc/logcheck/violations.ignore.d/myfile-延期 文件中。
系统事件总是被发出信号,除非其中一个规则 /etc/logcheck/ignore.d。
{paranoid,server,workstation}/ 目录指出应忽略该事件。 当然,仅考虑与等于或大于所选操作模式的详细级别对应的目录。