logcheck
A logok elemzésére a logcheck nevű programcsomagot
használhatjuk. Telepítése egyszerűen az alábbi paranccsal
végezhető el (feltételezem, hogy
az itt
leírtak már készen vannak):
# apt-get install logcheck logcheck-database
Figyelembe kell vennünk, hogy a logcheck alapbeállítások
esetén a logcheck nevű felhasználó (és a logcheck nevű csoport)
nevében fut, ezért az elemezni kívánt logokhoz olvasási jogokat
kell biztosítani, illetve a logokat tartalmazó könyvtárakhoz is a
megfelelő jogokat kell biztosítanunk. Mivel a logcheck
pontosan ismeri az elemzésre kijelölt fájlok nevét, ezért nem
szükséges olvasási jogot is adnunk a könyvtárakra, elég a
végrehajtási jog, de a fájlokra olvasási jogot kell beállítanunk.
Ennek a konfigurálása látható a szerverről szóló
fejezetben.
A logcheck is konfigurálásra szorul. A
/etc/logcheck könyvtárban található az ehhez szükséges 2
fájl, a logcheck.conf és a logcheck.logfiles. A
logcheck.logfiles fájlban kell felsorolnunk azokat az
állományokat, amelyekben szeretnénk, ha keresne a
logcheck. Az összes szerverünk syslog fájlját
vegyük fel a következőképpen (a sorrend lényegtelen):
/var/log/GEPEK/127.0.0.1/syslog /var/log/GEPEK/192.168.10.254/syslog /var/log/GEPEK/192.168.10.253/syslog /var/log/GEPEK/192.168.10.252/syslog /var/log/GEPEK/192.168.10.251/syslog /var/log/GEPEK/192.168.10.250/syslog /var/log/GEPEK/192.168.10.249/syslog /var/log/GEPEK/192.168.10.248/syslog /var/log/GEPEK/192.168.10.247/syslog
A logcheck.conf fájlt javítsuk ki ízlésünknek megfelelően,
például ilyenre:
DATE="$(date +'%Y-%m-%d %H:%M')" INTRO=0 REPORTLEVEL="server" SENDMAILTO="atkosa@akarmi.intra" FQDN=1 SORTUNIQ=0 SUPPORT_CRACKING_IGNORE=1 RULEDIR="/etc/logcheck" SYSLOGSUMMARY=0 ATTACKSUBJECT="Attack Alerts" SECURITYSUBJECT="Security Events" EVENTSSUBJECT="System Events" ADDTAG="yes"
Ennek eredményeként az alábbihoz hasonló fejlécű e-mail-eket fogunk kapni:
Date: Wed, 4 Apr 2007 22:03:49 +0200 (CEST) From: logcheck@syslog.akarmi.intra (logcheck system account) To: atkosa@akarmi.intra Subject: [logcheck] syslog.akarmi.intra 2007-04-04 22:02 System Events
A REPORTLEVEL változó alapértelmezésben a server
értéket tartalmazza. Két másik választási lehetőségünk van, a
workstation és a paranoid. Ehhez kapcsolódnak a
ignore.d.* könyvtárak. Ezen könyvtárak (pontosabban az
ezekben a könyvtárakban lévő fájlok tartalma) segítségével tudjuk
azt beállítani, hogy milyen logrészleteket hagyjon figyelmen
kívül a logcheck, melyeket ne tegyen bele az elküldött
e-mail-be. Célszerűnek látszik, ha nem a disztribúció csomagjai
által odatett fájlokba írjuk bele, hogy mi nem érdekel bennünket,
mert egy esetleges frissítés alkalmával ezen fájlok
felülíródhatnak, és ezzel elveszítenénk a saját bejegyzéseinket.
Ezért hozzunk létre egy fájlt a megfelelő könyvtárban (a
REPORTLEVEL változó által meghatározott könyvtárban), és
abba tegyük saját bejegyzéseinket.
2009-03-23