Я запускаю свой собственный сервер дома для своего личного сайта, на котором работает Ubuntu Server с Apache, Bind9 и Django. Какие журналы, по вашему мнению, лучше всего отслеживать на регулярной основе? (а не на основе чтения, когда что-то идет не так). Я думаю об обнаружении попыток вторжения (ранее я сталкивался с ошибками SSH) и необычного трафика или ошибок на моем сайте.
Журналы интересов:
Я использую пакет logwatch для мониторинга SMTP-трафика и SSH-входов, а также попыток аутентификации. Он доступен в большинстве дистрибутивов Linux, включая Ubuntu по умолчанию.
aptitude install logwatch
В прошлом я также использовал logsurfer +, который является сложным программным обеспечением, но легко настраивается.
Если ни один из этих инструментов (logwatch, logsurfer +) не отвечает вашим потребностям, существует большое количество решений для управления журналами от различных поставщиков. От пакетов программного обеспечения до выделенных устройств. Вот несколько, чтобы начать, если вы хотите сделать дополнительное исследование. Я не связан ни с одной из этих компаний или продуктов.
Я предлагаю использовать OSSEC для мониторинга ваших логов. Он автоматически обнаружит важные файлы журналов и по умолчанию будет отслеживать их все в режиме реального времени.
Если вы используете Ubuntu, он будет просматривать все журналы аутентификации, журналы apache, apt-get журналы (чтобы увидеть, когда новые приложения установлены) и т. Д.
Он с открытым исходным кодом, имеет активную команду разработчиков и прост в использовании. Мы перешли на него из logwatch, потому что он просматривает журналы в режиме реального времени вместо того, чтобы делать это каждые X часов, как журнал.
Ссылка: http://www.ossec.net
источник
Я обычно смотрю вышеуказанные файлы, но в основном это файлы системного журнала (/ var / log / messages). Обычно я настраиваю syslog-ng, чтобы обеспечить лучшую фильтрацию, и настраиваю syslog для входа в систему как * .debug, чтобы я мог видеть все. Все это читается сценарием оболочки, который имеет свои корни в logcheck.sh (извините, потерял ссылку) и ежедневно отправляет мне интересные сообщения. В нем повышен уровень шума, который трудно отфильтровать, но я также использую уровень шума для проверки работоспособности - если уровень шума внезапно увеличивается или уменьшается, что-то изменилось.
источник
У меня есть одно предупреждение о logwatch, и это то, что нужно искать. Я написал / использую инструмент под названием petit для поиска и сопоставления слов. Он использует несколько простых методов из Natural Language Processing для удаления стоп-слов. Это помогает администратору / аналитику, который отвечает за анализ журнала, чувствовать себя более уверенным, что он / она действительно захватывает все события, которые он / она хочет с помощью logwatch.
Это основная проблема курица / яйцо, как узнать, что мне нужно искать, пока я не видел это раньше. Помогает в этом слово «режим обнаружения». Также он обеспечивает графическое отображение и хеширование.
Ссылка: http://opensource.eyemg.com/Petit
источник