Я пишу сценарий для мониторинга атак и зондирования на моем сервере. Но в основном я просто ищу интересную информацию в / var / log / messages. Куда еще мне посмотреть?
Фырканье это легкая система обнаружения вторжений в сеть. Он отслеживает сетевой трафик и анализирует его в соответствии с набором правил, определенным пользователем.
Fail2ban сканирует файлы журналов. Он поддерживает SSH, HTTP, VOIP, MTA и правила определения пользователей.
В дополнении к Fail2Ban смотреть на DenyHosts. Они работают немного по-другому, поэтому один может лучше подходить к вашей среде, чем другой. Два самых легких инструмента для мониторинга журнала веса, которые я использовал, были LogWatch и logsentry.
LogWatch в наши дни - довольно стандартный инструмент. Обычно он работает каждую ночь, анализирует кучу журналов и отправляет по электронной почте хороший отчет о ежедневной активности. Такие вещи, как логины пользователей, команды sudo, использование диска, а также в целом странно сообщения журнала. По моему опыту, этот инструмент почти никогда не настраивается, а конфигурация по умолчанию дает достаточно хорошие результаты.
Логцентры (ранее logcheck) запускается чаще, обычно ежечасно и строго анализирует сообщения журнала. Он содержит белый список нормальный сообщения и предполагает, что все остальное плохо. Эти плохие сообщения затем собираются вместе и отправляются по электронной почте. Этот инструмент может потребовать некоторой настройки. Вы должны убедиться, что оба монитора все файлы журнала, которые вы хотите, а также убедитесь, что он знает, что является нормальным в вашей среде.
Оба являются хорошими инструментами и достаточно разными, чтобы их запускать не обязательно. Раньше я использовал LogWatch, чтобы каждый день получать красивую сводку о состоянии системы, причем logsentry сообщал мне, когда происходило что-то необычное.
Я запускаю Shorewall как брандмауэр с политикой удаления журнала. Я использую парсер журнала dshield, чтобы сообщать о пробах портов на dshield.org и копировать меня вместе с файлом журнала. Инструмент logcheck также сканирует мои журналы раз в час и сообщает любые интересные данные.
Я считаю, что сканирование портов сейчас проводится не так часто. Возможно, использование таких инструментов, как fail2ban, делает сканирование портов не таким привлекательным.