Log mana yang harus dilacak secara teratur

11

Saya menjalankan server saya sendiri di rumah untuk situs web pribadi saya yang menjalankan Ubuntu Server dengan Apache, Bind9 dan Django. Log apa yang Anda sarankan paling baik untuk dilacak secara teratur? (Daripada membaca ketika ada masalah). Saya berpikir untuk mendeteksi upaya intrusi (Saya sebelumnya pernah mengalami kesalahan SSH) dan lalu lintas yang tidak biasa atau kesalahan di situs saya.

Elliot Hughes
sumber

Jawaban:

15

Log yang menarik:

  • / var / log / apache2 / * - log apache2 :)
  • /var/log/auth.log - upaya otentikasi
  • /var/log/daemon.log - proses sistem login di sini
  • / var / log / syslog - semuanya log di sini

Saya menggunakan paket logwatch untuk memantau lalu lintas SMTP dan login SSH, dan upaya otentikasi. Ini tersedia dari sebagian besar distribusi Linux, termasuk Ubuntu secara default.

aptitude install logwatch

Di masa lalu saya juga menggunakan + logsurfer yang merupakan perangkat lunak yang rumit, tetapi sangat dapat dikonfigurasi.

Jika tidak satu pun dari alat ini (logwatch, logsurfer +) memenuhi kebutuhan Anda, ada sejumlah besar solusi manajemen log dari berbagai vendor. Dari paket perangkat lunak ke perangkat khusus. Inilah beberapa untuk memulai jika Anda ingin melakukan penelitian tambahan. Saya tidak berafiliasi dengan perusahaan atau produk ini.

jtimberman
sumber
1
+1 untuk logwatch; itu menyelamatkan saya banyak waktu di pagi hari.
RainyRat
Saya mengintai mah logwatch.
womble
1
Logwatch tampak hebat - bahkan menunjukkan sesuatu yang perlu saya periksa saat dijalankan pertama kali!
Elliot Hughes
4

Saya sarankan menggunakan OSSEC untuk memonitor log Anda. Ini akan secara otomatis mendeteksi file log penting dan memonitor semuanya secara real time secara default.

Jika Anda menggunakan Ubuntu, itu akan melihat semua log otentikasi, log apache, log apt-get (untuk melihat kapan aplikasi baru diinstal), dll.

Ini adalah open source, memiliki tim pengembangan aktif dan mudah digunakan. Kami memigrasikannya dari logwatch, karena ia melihat log secara real time alih-alih melakukan itu setiap X jam seperti halnya log watch.

Tautan: http://www.ossec.net

sucuri
sumber
0

Saya biasanya menonton file-file di atas, tetapi kebanyakan file syslog (/ var / log / messages). Saya biasanya mengatur syslog-ng untuk menyediakan beberapa penyaringan yang lebih baik, dan saya mengatur syslog untuk login sebagai * .debug sehingga saya bisa melihat semuanya. Ini semua dibaca oleh skrip shell yang berakar pada logcheck.sh (maaf, kehilangan tautan) dan mengirimkan saya item menarik setiap hari. Ini memiliki peningkatan jumlah kebisingan yang sulit disaring, tetapi saya menggunakan tingkat kebisingan sebagai pemeriksaan kesehatan juga - jika tingkat kebisingan tiba-tiba meningkat atau menurun, sesuatu telah berubah.

David Mackintosh
sumber
0

Saya punya satu peringatan tentang logwatch dan itu adalah "apa" yang harus dicari. Saya menulis / menggunakan alat yang disebut petit untuk melakukan pencarian kata dan korelasi. Ini menggunakan beberapa teknik sederhana dari Natural Language Processing untuk menghapus stopwords. Ini membantu seorang admin / analis yang bertanggung jawab untuk analisis log untuk merasa lebih percaya diri bahwa ia memang menangkap semua peristiwa yang ia inginkan dengan logwatch.

Ini masalah ayam / telur dasar tentang bagaimana saya tahu apa yang saya butuhkan untuk mencari sampai saya sudah melihatnya sebelumnya. Mode penemuan kata dari petit membantu dalam hal ini. Juga menyediakan cli graphing dan hashing.

Tautan: http://opensource.eyemg.com/Petit

ayahlinux
sumber