Naplózás

Központi logszerver beállításáról, valamint az összegyűjtött logok automatikus elemzéséről szól ez a fejezet.

A logok távoli szerverre történő eljuttatása fontos dolog, például egy esetleges betörés alkalmával lehetőséget nyújthat annak rekonstruálására, hogy mi is történt a megtámadott gépen, még akkor is, ha a támadó eltünteni az adott gépen a behatolás nyomait. A logok megőrzése akár törvényi kötelezettségként is jelentkezhet!

Egyrészt azért célszerű a központi logszerveren végezni a logok elemzését, mert így nem szükséges diszkterületet, processzoridőt és memóriát (egyszóval erőforrásokat) áldozni minden egyes gépen erre a feladatra. Másrészt így a logelemzést végző szoftvert és a keresési feltételeket csak egyetlen helyen kell karbantartani.

Alszakasz

logcheck
logrotate
- A szerveren
- A klienseken
pflogsumm
syslog-ng
- A szerveren
- A klienseken

Kosa Attila
2009-03-23