Manutenção do arquivo de log do Linux

3

Esta manhã, descobri que o meu servidor web foi alvo de um ataque de estilo de força bruta. Eu só descobri isso quando eu chequei aleatoriamente o meu arquivo /var/log/auth.log e vi as solicitações recebidas. Alguém tem algum conselho sobre quais arquivos de log eu deveria estar lendo no meu servidor web Apache? juntamente com isso vale a pena enviar-me os logs para ler no meu lazer e, em caso afirmativo, quais são os métodos mais fáceis para fazer isso?

    
por PixelSmack 05.10.2009 / 08:48

5 respostas

5

Ferramentas como OSSEC realmente ajudam você a detectar esses tipos de coisas enquanto estão acontecendo, em vez de descobri-las na próxima dia.

Além disso, continuo a usar o logwatch apenas por causa de um resumo arquivado que posso pesquisar rapidamente através do meu cliente de e-mail.

    
por 05.10.2009 / 09:38
3

O Logwatch irá digitalizar e enviar os detalhes dos logs. Muito útil para fins de arquivamento, caso você precise revisar os estados mais antigos. Máquinas de produção maiores tendem a precisar um pouco da saída filtrada.

Além disso, instale o denyhosts ou similar para bloquear as tentativas.

    
por 05.10.2009 / 09:08
2

Use apenas o logcheck ou logwatch (prefiro o logcheck, eu mesmo) para filtrar todas as coisas que você não quer ver, e depois o resto será enviado por e-mail para você. Muito útil, deve estar em execução em todos os servidores.

    
por 05.10.2009 / 08:58
1

Verifique a parte inferior de /etc/aliases e adicione seu endereço de e-mail na parte inferior:

 Person who should get root's mail
   root:        [email protected]

Verifique se o sendmail ou o postfix está funcionando para que você receba o e-mail.

    
por 05.10.2009 / 13:30
0

Dependendo de quantas caixas você deseja monitorar, você pode querer examinar um sistema de monitoramento de logs centralizado. Eu pessoalmente o uso mesmo para pequenas implantações simplesmente porque é muito mais conveniente ter todos os meus logs (não apenas apache) acessíveis e pesquisáveis centralmente.

Ferramentas como Splunk tornam isso muito fácil e agradável de usar.

    
por 05.10.2009 / 10:28