Несколько недель я управляю своим первым веб-сервером, приложением Seaside за прокси-сервером Apache на Linode, и я установил logwatch, чтобы отправлять мне ежедневные журналы.
Где я могу получить информацию о том, когда мне придется действовать в результате того, что я прочитал в этих отчетах logwatch?
Например, я читал, что самые разные люди пытаются войти в забавные несуществующие учетные записи или всевозможные веб-сканеры проверяют несуществующие страницы входа в систему cms, некоторые IP-адреса блокируются и разблокируются с помощью fail2ban ...
Полагаю, это нормально? Это? Но как я узнаю, что мне, вероятно, нужно что-то делать? Что мне искать в журналах?
Вы должны выучить свои журналы и знать их наизусть. Даже если вы не понимаете точное значение какого-то конкретного сообщения. Но затем, когда вы вдруг увидите что-то не в порядке, вы поймете, что у вас проблемы. Для вас очевидно, что если вы слышите, что ваш HD начал издавать какие-то странные звуки, которые вы никогда не слышали, значит, с ним что-то не так, даже если вы не знаете, почему он вообще звучит, верно? То же и с бревнами.
Последствия взлома могут быть очень болезненными. Только представьте, что ваш VPS будет задействован в сложной схеме взлома финансового учреждения. Вы арендовали эту виртуальную сущность, и у вас есть полный контроль. Таким образом, вы несете полную ответственность.
Жизнь есть жизнь...
Сразу подумал использовать анализатор логов, например бесплатную версию Splunk. Чтение журналов вручную - хороший способ учиться, но требует времени и увеличивает вероятность человеческой ошибки из-за упущения вещей. Анализаторы журналов могут быть костылем, помогающим расширить знания.
Он ограничен бесплатной версией, но может быстро показать, что возможно, и нужно ли развивать такие функции. Чтобы получить логи в Splunk:
Другой вариант с открытым исходным кодом - syslong-NG: