Quais registros devem ser rastreados regularmente

Navegue suas respostas
11

Eu corro meu próprio servidor em casa para o meu site pessoal rodando o Ubuntu Server com Apache, Bind9 e Django. Quais registros você sugeriria serem mais adequados para acompanhar regularmente? (em vez de ler com base em algo errado). Estou pensando na detecção de tentativas de invasão (eu já experimentei erros de SSH) e tráfego incomum ou erros no meu site.

    
por Elliot Hughes 28.07.2009 / 10:35

4 respostas

15

Registros de interesse:

  • / var / log / apache2 / * - logs do apache2:)
  • /var/log/auth.log - tentativas de autenticação
  • /var/log/daemon.log - log de processos do sistema aqui
  • / var / log / syslog - tudo é registrado aqui

Eu uso o pacote logwatch para monitorar logons de tráfego SMTP e SSH e tentativas de autenticação. Está disponível na maioria das distribuições Linux, incluindo o Ubuntu por padrão. 

aptitude install logwatch

No passado eu também usei logsurfer + , que é um software complicado, mas altamente configurável.

Se nenhuma dessas ferramentas (logwatch, logsurfer +) atender às suas necessidades, há um grande número de soluções de gerenciamento de registros de vários fornecedores. De pacotes de software a dispositivos dedicados. Aqui estão alguns para começar, se você quiser fazer uma pesquisa adicional. Eu não sou afiliado a nenhuma dessas empresas ou produtos.

por 28.07.2009 / 10:38
4

Eu sugiro usar o OSSEC para monitorar seus logs. Ele detectará automaticamente os arquivos de log importantes e monitorará todos eles em tempo real por padrão.

Se você estiver usando o Ubuntu, ele olhará para todos os logs de autenticação, logs do apache, logs do apt-get (para ver quando novos aplicativos são instalados), etc.

É de código aberto, tem uma equipe de desenvolvimento ativa e é simples de usar. Nós migramos para ele a partir do logwatch, porque ele olha para os logs em tempo real ao invés de fazer isso a cada X horas como o log watch faz.

Link: link

    
por 29.07.2009 / 00:56
0

Eu geralmente assisto os arquivos acima, mas principalmente os arquivos syslog (/ var / log / messages). Eu costumo configurar o syslog-ng para fornecer uma melhor filtragem, e eu configurei o syslog para logar como * .debug para que eu possa ver tudo. Isso tudo é lido por um script de shell que tem suas raízes em logcheck.sh (desculpe, perdeu o link) e me envia itens interessantes diariamente. Isso tem uma quantidade maior de ruído que é difícil de filtrar, mas eu também uso o nível de ruído como uma verificação de saúde - se o nível de ruído aumentar ou diminuir de repente, algo mudou.

    
por 28.07.2009 / 17:42
0

Eu tenho uma ressalva sobre o logwatch e isso é "o que" procurar. Eu escrevi / usei uma ferramenta chamada petit para realizar a descoberta e correlação de palavras. Ele usa algumas técnicas simples do Natural Language Processing para remover palavras irrelevantes. Isso ajuda um administrador / analista que é responsável pela análise de logs a se sentir mais confiante de que está, de fato, capturando todos os eventos que deseja com o logwatch.

É um problema básico de galinha / ovo de como eu sei o que preciso procurar até que eu tenha visto isso antes. O modo de descoberta de palavras do petit ajuda com isso. Também fornece clicagem e hashing.

Link: link

    
por 01.03.2010 / 20:20

Tags

Quão estável é o Cherokee Web Server? [fechadas] É possível que uma tarefa agendada seja executada como SERVIÇO DE REDE?