השתמש ב- Logcheck לבעיות ב- Spot ובפגיעות אבטחה בקובצי יומן מערכת [Linux]
זה עובדה שאין להכחישה כי יומני לשחק תפקיד חשוב בחשיפת תוכנה או בעיות במערכת, כמו גם פעילויות זדוניות. עם זאת, עם כל כך הרבה קבצי יומן והרבה מידע בכל אחד מהם, זה נהיה קצת קשה למנהלי מערכת לנתח אותם כראוי.
אמנם יש כלים רבים זמינים המסוגלים לנתח יומנים ולהפיק מידע משמעותי, אם אתה מחפש חלופה טובה שורת הפקודה, הייתי מציע לך להשתמש logcheck. במאמר זה, נדון את היסודות של פקודה זו יחד עם התכונות שהיא מספקת.
מבוא
למרות התיעוד הרשמי של logcheck אומר כי הוא סורק את יומני המערכת עבור "קווים מעניינים", כדאי להדגיש כי אלה "קווים מעניינים" הם למעשה הבעיות והפרות אבטחה כי הכלי מזהה.
הכלי בעצם תומך בשלוש רמות של סינון:
- שרת : רמת ברירת המחדל הכוללת כללים עבור דמונים רבים ושונים.
- פרנואיד : רמה המתאימה למכונות אבטחה גבוהות, הפועלות כמה שיותר שירותים - אל תשתמש בה אם אינך יכול לטפל בהודעותיה המורכבות.
- תחנת עבודה : רמה המתאימה למכונות מוגנות כפי שהיא מסננת את רוב ההודעות.
כברירת מחדל, logcheck פועל כמו cronjob שעה רק את השעה ולאחר כל אתחול מחדש שולח את התוצאות לך בדואר אלקטרוני.
הורד והתקן
משתמשים במערכות מבוססות דביאן, כמו אובונטו, יכולים בקלות להתקין את logcheck על ידי ביצוע הפקודה הבאה:
sudo apt- לקבל logcheck להתקין
זוהי הדרך המומלצת להתקין את כלי שורת הפקודה שכן היא תתקין את הגירסה שכבר נמצאת במאגר ההפצה שלך ב- Linux. לחלופין, ניתן גם להתקין את כלי השירות על ידי הורדת אותו מאתר הפרויקט שלו.
תְצוּרָה
לפני השימוש בפקודת logcheck בפעם הראשונה, אתה צריך להסתכל על "logcheck.conf" קובץ הממוקם בתוך "/ etc / logcheck" ספרייה כפי שהוא מכיל הגדרות משתנה כי ייתכן שתרצה לשנות לפי הדרישות שלך.
הנה כמה תמונות של קובץ זה:
כפי שניתן לראות, חלק מהמשתנים פעילים עם ערכי ברירת המחדל שלהם במקום, בעוד שאחרים נכונים. אתה יכול לעשות את השינויים כדי להתאים לדרישות שלך. לדוגמה, אני uncommented DATE, כמו גם את ATTACKSUBJECT, SECURITYSUBJECT, EVENTSSUBJECT משתנים, ושינה את הערך של המשתנה SENDMAILTO לכתובת הדוא"ל שלי.
מלבד "logcheck.conf", יש גם קובץ "logcheck.logfiles" נוכח באותה ספריה המכילה רשימה של קבצי יומן שיסומנו על ידי הפקודה logcheck.
באפשרותך להוסיף קובצי יומן נוספים לקובץ זה, אך ודא שכל ערך נוסף בשורה נפרדת.
נוֹהָג
הנה כמה דוגמאות לאופן השימוש בפקודת logcheck:
הערה : כל הדוגמאות המוצגות במאמר זה נבדקות על Ubuntu 14.04.
שלח דוא"ל מיד
בעוד logcheck שולח דוא"ל מעת לעת כברירת מחדל, אתה יכול להשתמש באפשרות -m
כדי לאלץ אותו לשלוח אחד באופן מיידי. לדוגמה, כאשר ביצעתי את הפקודה הבאה:
logcheck -m
הודעת האימייל הבאה נשלחה לתיבת הדואר הנכנס שלי:
הערה :
1. אתה יכול להשתמש באפשרות -h
ואחריו שם מארח להשתמש שם מארח זה בנושא של הדוא"ל.
2. באפשרותך להשתמש באפשרות -o
כדי לשלוח את הדוח ל- stdout, במקום לדוא"ל.
לעקוף את קבצי ברירת המחדל logfile ותצורה
כפי שכבר דנו, כברירת מחדל, הפקודה logcheck משתמשת בקבצי "/etc/logcheck/logcheck.logfiles" ו "/etc/logcheck/logcheck.conf" לקריאת קובצי היומן כדי לפקח על הגדרות התצורה שלו, בהתאמה. אבל אתה יכול לשנות את ההתנהגות הזאת יש את הפקודה לקרוא קבצים הממוקמים בכל מקום אחר באמצעות -L
ו- -C
אפשרויות.
לדוגמה, הפקודה הבאה תקרא "mylogcheck.conf" הנמצא בספריית הבית שלי:
-c / home / himanshu/mylogcheck.conf
באופן דומה, הפקודה הבאה תקרא "mylogcheck.logfiles" נוכח בספריית הבית שלי:
logcheck -L / home / himanshu/mylogcheck.logfiles
הערה : ניתן גם להשתמש באפשרות שורת הפקודה -r
ולאחר מכן על-ידי שם ספריה כדי לעקוף את ספריית הכללים המוגדרת כברירת מחדל.
שמור את אופציות logfile באמצעות אפשרות
הפקודה logcheck משתמשת בתוכנית הנקראת "logtail" שזוכרת את המיקום האחרון שקראה מתוך קובץ יומן. אבל אם אתה רוצה להפעיל את הפקודה במצב בדיקה, כלומר מבלי לעדכן את offsets logfile, אתה יכול להשתמש באפשרות -t
.
הפקודה הבאה תדווח על בעיות אבטחה או על הפרות, אך לא תעדכן את הקיצורים:
logcheck -t
לקבלת מידע נוסף על פקודה זו, לעבור דף האיש שלו.
סיכום
Logcheck הוא לא רק פשוט לשימוש, אבל זה גם להתאמה אישית. הייתי אומר שזה כלי חובה לכל מנהל מערכת בעיקר בגלל היכולות שלו. האם השתמשת פעם logcheck? איך היתה החוויה שלך? שתף את המחשבות שלך בהערות הבאות.