Apache, Bind9 ve Django ile Ubuntu Server çalıştıran kişisel web sitem için evde kendi sunucumu çalıştırıyorum. Hangi günlükleri düzenli olarak takip etmeniz en iyisidir? (bir şeyler ters gittiğinde okuma esasına göre). Saldırı girişimlerinin (daha önce SSH hataları yaşadım) ve sitemdeki olağandışı trafik veya hataların algılanmasını düşünüyorum.
Yanıtlar:
İlgilenilen günlükler:
Günlük izleme paketini SMTP trafiğini ve SSH oturumlarını ve kimlik doğrulama girişimlerini izlemek için kullanıyorum . Varsayılan olarak Ubuntu dahil olmak üzere birçok Linux dağıtımında kullanılabilir.
aptitude install logwatch
Geçmişte , karmaşık bir yazılım parçası olan ancak son derece yapılandırılabilir olan logsurfer + kullandım .
Bu araçların hiçbiri (logwatch, logsurfer +) ihtiyaçlarınızı karşılamıyorsa, çeşitli satıcılardan çok sayıda günlük yönetimi çözümü vardır. Yazılım paketlerinden özel cihazlara. Ek araştırma yapmak istiyorsanız, başlamak için birkaç tane. Bu şirketlerin veya ürünlerin hiçbirine bağlı değilim.
Günlüklerinizi izlemek için OSSEC kullanmanızı öneririz. Önemli günlük dosyalarını otomatik olarak algılar ve varsayılan olarak tümünü gerçek zamanlı olarak izler.
Ubuntu kullanıyorsanız, tüm kimlik doğrulama günlüklerine, apache günlüklerine, apt-get günlüklerine (yeni uygulamaların ne zaman yüklendiğini görmek için) vb.
Açık kaynak kodlu, aktif bir geliştirme ekibine sahip ve kullanımı basit. Logwatch'dan buna geçtik, çünkü log saatlerinde olduğu gibi her X saatte bir yapmak yerine günlüklere gerçek zamanlı olarak bakıyor.
Bağlantı: http://www.ossec.net
Genellikle yukarıdaki dosyaları izliyorum, ama çoğunlukla syslog dosyalarını (/ var / log / messages). Genellikle daha iyi filtreleme sağlamak için syslog-ng ayarladım ve her şeyi görebilmek için syslog * .debug olarak oturum açacak şekilde ayarladım. Tüm bu kökleri logcheck.sh (üzgünüm, bağlantı kaybetti) ve bana ilginç öğeler günlük posta olan bir kabuk komut dosyası tarafından okunur. Bu, filtrelenmesi zor bir artan gürültüye sahiptir, ancak gürültü seviyesini de sağlık kontrolü olarak kullanıyorum - gürültü seviyesi aniden artar veya azalırsa, bir şey değişti.
Logwatch hakkında bir uyarı var ve bu "ne" aramaktır. Kelime keşfi ve korelasyon yapmak için petit adlı bir araç yazdım / kullandım. Engellenecek kelimeleri kaldırmak için Doğal Dil İşleme'den birkaç basit teknik kullanır. Bu, günlük analizinden sorumlu bir yöneticinin / analistin, gerçekten, günlük kaydı ile istediği tüm olayları yakaladığından daha emin hissetmesine yardımcı olur.
Bu daha önce görene kadar ne aramam gerektiğini bilmek temel bir tavuk / yumurta sorunudur. Petit kelimesinin keşif modu buna yardımcı olur. Ayrıca grafik ve hashing sağlar.
Bağlantı: http://opensource.eyemg.com/Petit