Είναι αναμφισβήτητο το γεγονός ότι τα αρχεία καταγραφής διαδραματίζουν σημαντικό ρόλο στην αποκάλυψη προβλημάτων λογισμικού ή συστήματος καθώς και κακόβουλων δραστηριοτήτων. Ωστόσο, με τόσα αρχεία καταγραφής και πολλές πληροφορίες σε κάθε ένα από αυτά, είναι λίγο δύσκολο για τους διαχειριστές συστημάτων να τις αναλύσουν σωστά.

Ενώ υπάρχουν πολλά διαθέσιμα εργαλεία που είναι σε θέση να αναλύουν τα αρχεία καταγραφής και να παράγουν σημαντικές πληροφορίες, αν ψάχνετε για μια καλή εναλλακτική γραμμή εντολών, θα πρότεινα να χρησιμοποιήσετε το logcheck. Σε αυτό το άρθρο, θα συζητήσουμε τα βασικά αυτής της εντολής μαζί με τα χαρακτηριστικά που παρέχει.

Εισαγωγή

Αν και η επίσημη τεκμηρίωση του logcheck λέει ότι ανιχνεύει τα αρχεία καταγραφής του συστήματος για "ενδιαφέρουσες γραμμές", αξίζει να τονιστεί ότι αυτές οι "ενδιαφέρουσες γραμμές" είναι στην πραγματικότητα τα προβλήματα και οι παραβιάσεις ασφαλείας που ανιχνεύει το εργαλείο.

Το εργαλείο υποστηρίζει βασικά τρία επίπεδα φιλτραρίσματος:

  • Server : Το προεπιλεγμένο επίπεδο που περιέχει κανόνες για πολλούς διαφορετικούς δαίμονες.
  • Παρανοϊκό : Ένα επίπεδο κατάλληλο για μηχανές υψηλής ασφάλειας που εκτελούν όσο το δυνατόν λιγότερες υπηρεσίες - μην το χρησιμοποιείτε αν δεν μπορείτε να χειριστείτε τα λεπτομερή μηνύματά του.
  • Σταθμός εργασίας : Ένα επίπεδο κατάλληλο για προστατευμένα μηχανήματα καθώς φιλτράρει τα περισσότερα μηνύματα.

Από προεπιλογή, το logcheck εκτελείται ως ωριαίο cronjob λίγο έξω από την ώρα και μετά από κάθε επανεκκίνηση και στέλνει τα αποτελέσματα σε σας σε ένα e-mail.

Λήψη και εγκατάσταση

Οι χρήστες των συστημάτων που βασίζονται στο Debian, όπως το Ubuntu, μπορούν εύκολα να εγκαταστήσουν το logcheck εκτελώντας την ακόλουθη εντολή:

 sudo apt-get να εγκαταστήσετε το logcheck 

Αυτός είναι ο συνιστώμενος τρόπος για να εγκαταστήσετε το εργαλείο γραμμής εντολών, καθώς θα εγκαταστήσει την έκδοση που υπάρχει ήδη στον αποθετήριο της διανομής του Linux. Εναλλακτικά, μπορείτε επίσης να εγκαταστήσετε το βοηθητικό πρόγραμμα, μεταφορτώνοντάς το από τον ιστότοπο του έργου.

Διαμόρφωση

Πριν χρησιμοποιήσετε την εντολή logcheck για πρώτη φορά, θα πρέπει να ρίξετε μια ματιά στο αρχείο "logcheck.conf" που βρίσκεται μέσα στον κατάλογο "/ etc / logcheck" καθώς περιέχει μεταβλητές ρυθμίσεις που μπορεί να θέλετε να αλλάξετε σύμφωνα με τις απαιτήσεις σας.

Ακολουθούν μερικά στιγμιότυπα αυτού του αρχείου:

Όπως μπορείτε να δείτε, μερικές από τις μεταβλητές είναι ενεργές με τις προεπιλεγμένες τιμές στη θέση τους, ενώ άλλες σχολιάζουν. Μπορείτε να κάνετε τις αλλαγές σύμφωνα με τις απαιτήσεις σας. Για παράδειγμα, αγνόησα τις ημερομηνίες DATE καθώς και τις μεταβλητές ATTACKSUBJECT, SECURITYSUBJECT και EVENTSSUBJECT και άλλαξα την τιμή της μεταβλητής SENDMAILTO στη διεύθυνση ηλεκτρονικού ταχυδρομείου μου.

Εκτός από το αρχείο "logcheck.conf", υπάρχει επίσης ένα αρχείο "logcheck.logfiles" που υπάρχει στον ίδιο κατάλογο και περιέχει μια λίστα αρχείων καταγραφής που θα ελεγχθούν από την εντολή logcheck.

Μπορείτε να προσθέσετε περισσότερα αρχεία καταγραφής σε αυτό το αρχείο, αλλά βεβαιωθείτε ότι κάθε εγγραφή προστίθεται σε ξεχωριστή γραμμή.

Χρήση

Ακολουθούν μερικά παραδείγματα για τον τρόπο με τον οποίο μπορεί να χρησιμοποιηθεί η εντολή logcheck:

Σημείωση : Όλα τα παραδείγματα που παρουσιάζονται σε αυτό το άρθρο ελέγχονται στο Ubuntu 14.04.

Αποστολή ηλεκτρονικού ταχυδρομείου αμέσως

Ενώ το logcheck στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου περιοδικά από προεπιλογή, μπορείτε να χρησιμοποιήσετε την επιλογή -m για να τον αναγκάσετε να το στείλει αμέσως. Για παράδειγμα, όταν εκτέλεσα την ακόλουθη εντολή:

 logcheck -m 

Το ακόλουθο μήνυμα ηλεκτρονικού ταχυδρομείου παραδόθηκε στα εισερχόμενά μου:

Σημείωση :
1. Μπορείτε να χρησιμοποιήσετε την επιλογή -h ακολουθούμενη από ένα όνομα κεντρικού υπολογιστή για να χρησιμοποιήσετε αυτό το όνομα κεντρικού υπολογιστή στο θέμα του μηνύματος ηλεκτρονικού ταχυδρομείου.

2. Μπορείτε να χρησιμοποιήσετε την επιλογή -o για να στείλετε την αναφορά σε stdout, αντί για email.

Καταργήστε τις προεπιλεγμένες λίστες αρχείων καταγραφής και αρχείων ρυθμίσεων

Όπως έχει ήδη αναφερθεί, από την προεπιλογή, η εντολή logcheck χρησιμοποιεί αρχεία "/etc/logcheck/logcheck.logfiles" και "/etc/logcheck/logcheck.conf" για την ανάγνωση των αρχείων καταγραφής που παρακολουθούνται και των δικών τους ρυθμίσεων διαμόρφωσης, αντίστοιχα. Αλλά μπορείτε να αλλάξετε αυτήν τη συμπεριφορά και να έχετε την εντολή να διαβάσετε τα αρχεία που βρίσκονται σε οποιαδήποτε άλλη θέση χρησιμοποιώντας τις επιλογές -L και -C .

Για παράδειγμα, η ακόλουθη εντολή θα διαβάσει το "mylogcheck.conf" που βρίσκεται στον οικείο μου κατάλογο:

 logcheck -C /home/himanshu/mylogcheck.conf 

Ομοίως, η ακόλουθη εντολή θα διαβάσει το "mylogcheck.logfiles" που υπάρχει στον οικείο μου κατάλογο:

 logcheck -L /home/himanshu/mylogcheck.logfiles 

Σημείωση : Μπορείτε επίσης να χρησιμοποιήσετε την επιλογή γραμμής εντολών -r ακολουθούμενη από ένα όνομα καταλόγου για να αντικαταστήσετε τον κατάλογο προεπιλεγμένων κανόνων.

Διατηρήστε τις αντισταθμίσεις του αρχείου καταγραφής χρησιμοποιώντας την επιλογή -t

Η εντολή logcheck χρησιμοποιεί ένα πρόγραμμα που ονομάζεται "logtail" που θυμάται την τελευταία θέση που διαβάζει από ένα αρχείο καταγραφής. Αλλά αν θέλετε να εκτελέσετε την εντολή στη λειτουργία δοκιμής, δηλαδή χωρίς να ενημερώσετε τις αντισταθμίσεις του αρχείου καταγραφής, μπορείτε να χρησιμοποιήσετε την επιλογή -t .

Η ακόλουθη εντολή θα αναφέρει ανησυχίες ή παραβιάσεις της ασφάλειας, αλλά δεν θα ενημερώσει τις αντισταθμίσεις:

 logcheck -t 

Για περισσότερες πληροφορίες σχετικά με αυτήν την εντολή, περάστε από τη σελίδα του ανθρώπου.

συμπέρασμα

Το Logcheck δεν είναι μόνο απλό στη χρήση, αλλά είναι επίσης εξαιρετικά προσαρμόσιμο. Θα έλεγα ότι είναι απαραίτητο εργαλείο για οποιονδήποτε διαχειριστή συστήματος, κυρίως λόγω των δυνατοτήτων του. Έχετε χρησιμοποιήσει ποτέ logcheck; Πώς ήταν η εμπειρία σου; Μοιραστείτε τις σκέψεις σας στα παρακάτω σχόλια.