Det er et ubestridelig faktum at logger spiller en viktig rolle i å avdekke programvare eller systemproblemer samt skadelige aktiviteter. Men med så mange loggfiler og mye informasjon i hver av dem blir det litt vanskelig for systemadministratorer å analysere dem riktig.

Mens det er mange tilgjengelige verktøy som kan analysere logger og produsere meningsfull informasjon, hvis du er på utkikk etter en god kommandolinjevalg, foreslår jeg at du bruker logcheck. I denne artikkelen vil vi diskutere grunnleggende om denne kommandoen sammen med funksjonene den gir.

Introduksjon

Selv om den offisielle dokumentasjonen av logcheck sier at den skanner systemlogger for "interessante linjer", er det verdt å understreke at disse "interessante linjene" egentlig er de problemer og sikkerhetsbrudd som verktøyet oppdager.

Verktøyet støtter i utgangspunktet tre nivåer av filtrering:

  • Server : Standardnivået som inneholder regler for mange forskjellige daemoner.
  • Paranoid : Et nivå som er egnet for høysikkerhetsmaskiner som kjører så få tjenester som mulig - ikke bruk den hvis du ikke klarer å håndtere de utrolige meldingene.
  • Arbeidsstasjon : Et nivå som passer for skjermede maskiner, da det filtrerer de fleste meldingene.

Logcheck går som standard som en time cronjob like utenfor timen og etter hver omstart og sender resultatene til deg i en e-post.

Last ned og installer

Brukere av Debian-baserte systemer, som Ubuntu, kan enkelt installere logcheck ved å utføre følgende kommando:

 sudo apt-get installer logcheck 

Dette er den anbefalte måten å installere kommandolinjebevegelsen på, da den installerer versjonen som allerede er der i depotet til Linux-distribusjonen din. Alternativt kan du også installere verktøyet ved å laste det ned fra prosjektets nettsted.

konfigurasjon

Før du bruker logcheck-kommandoen for første gang, bør du se på filen "logcheck.conf" som ligger inne i katalogen "/ etc / logcheck", da den inneholder variabelinnstillinger som du kanskje vil endre etter dine behov.

Her er et par øyeblikksbilder av denne filen:

Som du kan se, er noen av variablene aktive med standardverdiene på plass mens andre kommenteres. Du kan gjøre endringene som passer dine behov. For eksempel har jeg uncommented DATE, samt ATTACKSUBJECT, SECURITYSUBJECT og EVENTSSUBJECT-variablene, og endret verdien av SENDMAILTO-variabelen til min e-postadresse.

I tillegg til "logcheck.conf", finnes det også en "logcheck.logfiles" -fil som er til stede i samme katalog som inneholder en liste over loggfiler som vil bli sjekket av logcheck-kommandoen.

Du kan legge til flere loggfiler til denne filen, men sørg for at hver oppføring er lagt til i en egen linje.

bruk

Her er noen eksempler på hvordan logcheck-kommandoen kan brukes:

Merk : Alle eksemplene som presenteres i denne artikkelen er testet på Ubuntu 14.04.

Send e-post umiddelbart

Mens logcheck sender e-post regelmessig som standard, kan du bruke -m alternativet for å tvinge det til å sende en med en gang. For eksempel, da jeg kjørte ut følgende kommando:

 logcheck -m 

Følgende e-post ble levert til innboksen min:

Merk :
1. Du kan bruke alternativet -h etterfulgt av et vertsnavn for å bruke det vertsnavnet i emnet for e-posten.

2. Du kan bruke -o alternativet til å sende rapporten til stdout, heller enn e-post.

Overstyr standardloggfilene og konfigurasjonsfillister

Som allerede diskutert, bruker logcheck-kommandoen "/etc/logcheck/logcheck.logfiles" og "/etc/logcheck/logcheck.conf" -filer for å lese loggfiler som skal overvåkes og henholdsvis egne konfigurasjonsinnstillinger. Men du kan endre denne oppførselen og få kommandoen til å lese filer som er plassert på et annet sted ved hjelp av -L og -C alternativene.

Følgende kommando ville for eksempel lese "mylogcheck.conf" som ligger i min hjemmekatalog:

 logcheck -C /home/himanshu/mylogcheck.conf 

På samme måte vil følgende kommando lese "mylogcheck.logfiles" i min hjemmekatalog:

 logcheck -L /home/himanshu/mylogcheck.logfiles 

Merk : Du kan også bruke kommandolinjen -r etterfulgt av et katalognavn for å overstyre standardregistretmappen.

Behold logfileforskyvningene ved hjelp av -t-alternativet

Logcheck-kommandoen bruker et program kalt "logtail" som husker den siste posisjonen den leser fra i en loggfil. Men hvis du vil kjøre kommandoen i testmodus, det vil si uten å oppdatere logfileforskyvningene, kan du bruke alternativet -t .

Følgende kommando vil rapportere sikkerhetsproblemer eller brudd, men vil ikke oppdatere forskuddene:

 logcheck -t 

For mer informasjon om denne kommandoen, gå gjennom sin man side.

Konklusjon

Logcheck er ikke bare enkelt å bruke, men det er også ekstremt tilpassbart. Jeg vil si at det er et must-have verktøy for enhver systemadministrator, hovedsakelig på grunn av dens evner. Har du noen gang brukt logcheck? Hvordan var din erfaring? Del dine tanker i kommentarene nedenfor.