Desde algumas semanas eu gerencio meu primeiro servidor Web, um aplicativo Seaside atrás de um proxy Apache na Linode, e eu instalei o logwatch para me enviar logs diários.
Onde posso obter informações sobre quando devo agir como uma consequência do que li nesses relatórios de logwatch?
Por exemplo, eu li que todos os tipos de pessoas tentam fazer login em contas engraçadas que não existem ou todos os tipos de testes de webcrawlers para páginas de login não existentes no cms, alguns endereços IP são banidos e desbanidos pelo fail2ban ...Eu suponho que isso é normal? É isso? Mas como eu sei que eu provavelmente tenho que fazer alguma coisa? O que eu procuro nos logs?
Você deve aprender seus registros e conhecê-los de cor. Mesmo que você não entenda o significado exato de alguma mensagem em particular. Mas então, quando você de repente vir algo fora de ordem, você saberá que tem alguns problemas. Isto é óbvio para você que se você ouvir que o seu HD começou a fazer alguns sons estranhos que você nunca ouviu, então algo errado está acontecendo, mesmo que você não saiba por que soa, certo? O mesmo com os logs.
As conseqüências de ser hackeado podem ser muito dolorosas. Imagine que seu VPS estará envolvido em um esquema complexo de invasão de uma instituição financeira. Você alugou essa entidade virtual e tem controle total. Assim você é totalmente responsável.
A vida é vida ...
O pensamento imediato é usar um analisador de log, como a versão gratuita do Splunk. A leitura manual de registros é uma boa maneira de aprender, mas requer tempo & aumenta a probabilidade de erro humano ao ignorar as coisas. Os analisadores de registros podem ser uma muleta para ajudar a aumentar o conhecimento.
Ele é limitado com a versão gratuita, mas pode mostrar rapidamente o que é possível e se esses recursos são itens a serem seguidos. Para obter logs no Splunk:
Outra opção de código aberto seria o syslong-NG: