У меня дома есть собственный сервер для личного веб-сайта, на котором работает Ubuntu Server с Apache, Bind9 и Django. Какие журналы, по вашему мнению, лучше всего отслеживать на регулярной основе? (а не на основании чтения, когда что-то идет не так). Я думаю об обнаружении попыток вторжения (я раньше сталкивался с ошибками SSH) и необычного трафика или ошибок на моем сайте.
Интересующие журналы:
Я использую журнал пакет для мониторинга SMTP-трафика и SSH-входа, а также попыток аутентификации. Он доступен из большинства дистрибутивов Linux, включая Ubuntu по умолчанию.
aptitude install logwatch
Раньше я также использовал логсерфер + это сложное программное обеспечение, но легко настраиваемое.
Если ни один из этих инструментов (logwatch, logsurfer +) не соответствует вашим потребностям, существует большое количество решений для управления журналами от различных поставщиков. От пакетов программного обеспечения до специализированных устройств. Вот несколько примеров, с которых можно начать, если вы хотите провести дополнительное исследование. Я не связан ни с одной из этих компаний или продуктов.
Я предлагаю использовать OSSEC для отслеживания ваших журналов. По умолчанию он автоматически обнаруживает важные файлы журналов и отслеживает их все в режиме реального времени.
Если вы используете Ubuntu, он будет просматривать все журналы аутентификации, журналы apache, журналы apt-get (чтобы узнать, когда установлены новые приложения) и т. Д.
Он имеет открытый исходный код, имеет активную команду разработчиков и прост в использовании. Мы перешли на него из logwatch, потому что он просматривает журналы в реальном времени, а не каждые X часов, как это делает logwatch.
Ссылка на сайт: http://www.ossec.net
Обычно я смотрю указанные выше файлы, но в основном файлы системного журнала (/ var / log / messages). Обычно я настраиваю syslog-ng, чтобы обеспечить лучшую фильтрацию, и я настраиваю syslog для регистрации как * .debug, чтобы я мог все видеть. Все это читается сценарием оболочки, который имеет свои корни в logcheck.sh (извините, ссылка потерян) и ежедневно отправляет мне интересные сообщения. Это имеет повышенный уровень шума, который трудно отфильтровать, но я также использую уровень шума в качестве проверки работоспособности - если уровень шума внезапно увеличивается или уменьшается, что-то изменилось.
У меня есть одно предостережение относительно logwatch, и это то, «что» нужно искать. Я написал / использовал инструмент под названием petit для поиска слов и сопоставления. Он использует несколько простых приемов обработки естественного языка для удаления игнорируемых слов. Это помогает администратору / аналитику, который отвечает за анализ журнала, быть более уверенным в том, что он / она действительно улавливает все события, которые он / она хочет, с помощью logwatch.
Это основная проблема курицы / яйца: как мне узнать, что мне нужно искать, пока я не увижу это раньше. В этом помогает слово «режим обнаружения пети». Также он обеспечивает построение графиков и хеширование.
Ссылка на сайт: http://opensource.eyemg.com/Petit