Eu quero definir um "alarme" na minha máquina Ubuntu que informa coisas estranhas acontecendo em meus registros. Digamos que eu queira salvar informações quando um determinado evento ocorrer, por exemplo, alguém tentou efetuar login e falhou. Alguma idéia?
Edit1: Eu sei que existem ferramentas como o OSSEC, mas eu queria fazer isso sozinha, como definir um determinado conjunto de regras que acionariam meu próprio alarme. Eu estou apenas brincando com os sistemas de log, então não tenho certeza se o que eu quero é possível.
fail2ban é praticamente o que você está descrevendo.
Você diz o que assistir e o que fazer se algo for acionado.
Ele vem com um monte de scripts que observam auth.log abuses (que desencadeiam o iptables bans), entre outras coisas. Eu até liguei um site Wordpress para acionar o bloqueio de IP se alguém tentar forçar a página de login.
A sintaxe não é completamente óbvia, mas é flexível.