Verwenden Sie Logcheck, um Probleme und Sicherheitsverletzungen in Systemprotokolldateien zu erkennen [Linux]
Es ist eine unbestreitbare Tatsache, dass Logs eine wichtige Rolle bei der Aufdeckung von Software- oder Systemproblemen sowie böswilligen Aktivitäten spielen. Mit so vielen Protokolldateien und vielen Informationen in jedem von ihnen wird es für Systemadministratoren jedoch etwas schwierig, sie richtig zu analysieren.
Obwohl es viele Tools gibt, die in der Lage sind, Protokolle zu analysieren und aussagekräftige Informationen zu erzeugen, würde ich vorschlagen, dass Sie logcheck verwenden, wenn Sie nach einer guten Befehlszeilenalternative suchen. In diesem Artikel werden die Grundlagen dieses Befehls zusammen mit den Funktionen erläutert.
Einführung
Obwohl die offizielle Dokumentation von Logcheck besagt, dass Systemprotokolle nach "interessanten Zeilen" durchsucht werden, sollte betont werden, dass diese "interessanten Zeilen" eigentlich die Probleme und Sicherheitsverletzungen sind, die das Tool erkennt.
Das Tool unterstützt grundsätzlich drei Filterstufen:
- Server : Die Standardstufe, die Regeln für viele verschiedene Daemons enthält.
- Paranoid : Ein Level, der für Hochsicherheitsmaschinen geeignet ist, die so wenig Dienste wie möglich ausführen - benutze sie nicht, wenn du ihre ausführlichen Nachrichten nicht verarbeiten kannst.
- Workstation : Eine Stufe, die für geschützte Maschinen geeignet ist, da sie die meisten Nachrichten filtert.
Standardmäßig wird logcheck als stündlicher Cronjob außerhalb der Stunde und nach jedem Neustart ausgeführt und sendet die Ergebnisse per E-Mail an Sie.
Herunterladen und installieren
Benutzer von Debian-basierten Systemen, wie Ubuntu, können logcheck einfach installieren, indem sie den folgenden Befehl ausführen:
sudo apt-get install logcheck
Dies ist die empfohlene Methode zum Installieren des Befehlszeilentools, da es die bereits im Repository Ihrer Linux-Distribution vorhandene Version installiert. Alternativ können Sie das Dienstprogramm auch installieren, indem Sie es von seiner Projektwebsite herunterladen.
Aufbau
Bevor Sie den Befehl logcheck zum ersten Mal verwenden, sollten Sie sich die Datei "logcheck.conf" im Verzeichnis "/ etc / logcheck" ansehen, da sie variable Einstellungen enthält, die Sie je nach Ihren Anforderungen ändern können.
Hier sind ein paar Schnappschüsse dieser Datei:
Wie Sie sehen können, sind einige der Variablen aktiv und ihre Standardwerte sind vorhanden, während andere kommentiert sind. Sie können die Änderungen an Ihre Anforderungen anpassen. Zum Beispiel habe ich sowohl das Datum als auch die Variablen ATTACKSUBJECT, SECURITYSUBJECT und EVENTSSUBJECT auskommentiert und den Wert der Variablen SENDMAILTO in meine E-Mail-Adresse geändert.
Neben "logcheck.conf" gibt es auch eine "logcheck.logfiles" -Datei im gleichen Verzeichnis, die eine Liste von Protokolldateien enthält, die mit dem logcheck-Befehl überprüft werden.
Sie können dieser Datei weitere Protokolldateien hinzufügen, stellen Sie jedoch sicher, dass jeder Eintrag in einer separaten Zeile hinzugefügt wird.
Verwendung
Im Folgenden finden Sie einige Beispiele dafür, wie der Befehl logcheck verwendet werden kann:
Hinweis : Alle in diesem Artikel vorgestellten Beispiele werden unter Ubuntu 14.04 getestet.
E-Mail sofort senden
Während logcheck standardmäßig E-Mails regelmäßig versendet, können Sie die Option -m
zu erzwingen, dass eine Nachricht sofort gesendet wird. Zum Beispiel, als ich den folgenden Befehl ausgeführt habe:
logcheck -m
Die folgende E-Mail wurde an meinen Posteingang gesendet:
Hinweis :
1. Sie können die Option -h
gefolgt von einem Hostnamen verwenden, um diesen Hostnamen im Betreff der E-Mail zu verwenden.
2. Sie können die Option -o
, um den Bericht an stdout zu senden und nicht per E-Mail.
Überschreiben Sie die Standardlisten für Protokolldateien und Konfigurationsdateien
Wie bereits erwähnt, verwendet der logcheck-Befehl standardmäßig die Dateien "/etc/logcheck/logcheck.logfiles" und "/etc/logcheck/logcheck.conf" zum Lesen der zu überwachenden Protokolldateien bzw. seiner eigenen Konfigurationseinstellungen. Sie können dieses Verhalten jedoch ändern und den Befehl zum Lesen von Dateien an einem anderen Speicherort verwenden, indem Sie die Optionen -L
und -C
.
Der folgende Befehl würde beispielsweise "mylogcheck.conf" in meinem Home-Verzeichnis lesen:
logcheck -C /home/himanshu/mylogcheck.conf
In ähnlicher Weise würde der folgende Befehl "mylogcheck.logfiles" in meinem Home-Verzeichnis lesen:
logcheck -L /home/himanshu/mylogcheck.logdateien
Hinweis : Sie können auch die Befehlszeilenoption -r
gefolgt von einem Verzeichnisnamen verwenden, um das Standardregelverzeichnis zu überschreiben.
Bewahren Sie die Logfile-Offsets mit der Option -t auf
Der Befehl logcheck verwendet ein Programm namens "logtail", das sich die letzte Position aus einer Protokolldatei merkt. Wenn Sie den Befehl jedoch im Testmodus ausführen möchten, dh ohne die Logfile-Offsets zu aktualisieren, können Sie die Option -t
.
Der folgende Befehl meldet Sicherheitsbedenken oder Verstöße, aktualisiert die Offsets jedoch nicht:
logcheck -t
Weitere Informationen zu diesem Befehl finden Sie auf der Manpage.
Fazit
Logcheck ist nicht nur einfach zu bedienen, sondern auch extrem anpassbar. Ich würde sagen, es ist ein Muss für jeden Systemadministrator, vor allem wegen seiner Fähigkeiten. Hast du jemals Logcheck benutzt? Wie war deine Erfahrung? Teilen Sie Ihre Gedanken in den Kommentaren unten.