Tôi chạy máy chủ của riêng mình tại nhà cho trang web cá nhân của tôi chạy Ubuntu Server với Apache, Bind9 và Django. Nhật ký nào bạn muốn đề xuất là tốt nhất để theo dõi một cách thường xuyên? (thay vì trên cơ sở đọc khi có sự cố). Tôi đang suy nghĩ để phát hiện các nỗ lực xâm nhập (trước đây tôi đã gặp phải lỗi SSH) và lưu lượng truy cập hoặc lỗi bất thường trên trang web của tôi.
Câu trả lời:
Nhật ký quan tâm:
Tôi sử dụng gói logwatch để theo dõi lưu lượng truy cập SMTP và thông tin đăng nhập SSH và các nỗ lực xác thực. Nó có sẵn từ hầu hết các bản phân phối Linux, bao gồm Ubuntu theo mặc định.
aptitude install logwatch
Trước đây tôi cũng đã sử dụng logurfer + là một phần mềm phức tạp, nhưng có cấu hình cao.
Nếu cả hai công cụ này (logwatch, logurfer +) đều đáp ứng nhu cầu của bạn, thì có một số lượng lớn các giải pháp quản lý nhật ký từ các nhà cung cấp khác nhau. Từ gói phần mềm đến các thiết bị chuyên dụng. Đây là một vài để bắt đầu nếu bạn muốn làm nghiên cứu bổ sung. Tôi không liên kết với bất kỳ công ty hoặc sản phẩm nào trong số này.
Tôi đề nghị sử dụng OSSEC để theo dõi nhật ký của bạn. Nó sẽ tự động phát hiện các tệp nhật ký quan trọng và theo dõi tất cả chúng theo thời gian thực theo mặc định.
Nếu bạn đang sử dụng Ubuntu, nó sẽ xem xét tất cả các nhật ký xác thực, nhật ký apache, nhật ký apt-get (để xem khi nào ứng dụng mới được cài đặt), v.v.
Nó là nguồn mở, có một nhóm phát triển tích cực và dễ sử dụng. Chúng tôi đã di chuyển đến nó từ logwatch, bởi vì nó nhìn vào nhật ký theo thời gian thực thay vì làm điều đó cứ sau X giờ như log watch.
Liên kết: http://www.ossec.net
Tôi thường xem các tệp trên, nhưng chủ yếu là các tệp syslog (/ var / log / message). Tôi thường thiết lập syslog-ng để cung cấp một số bộ lọc tốt hơn và tôi thiết lập syslog để đăng nhập dưới dạng * .debug để tôi có thể thấy mọi thứ. Đây là tất cả được đọc bởi một tập lệnh shell có nguồn gốc từ logcheck.sh (xin lỗi, mất liên kết) và gửi cho tôi các mục thú vị hàng ngày. Điều này có lượng tiếng ồn tăng lên khó lọc, nhưng tôi cũng sử dụng mức độ tiếng ồn để kiểm tra sức khỏe - nếu mức độ tiếng ồn đột ngột tăng hoặc giảm, có gì đó đã thay đổi.
Tôi có một cảnh báo về logwatch và đó là "cái gì" cần tìm. Tôi đã viết / sử dụng một công cụ gọi là petit để thực hiện khám phá và tương quan từ. Nó sử dụng một vài kỹ thuật đơn giản từ Xử lý ngôn ngữ tự nhiên để loại bỏ các từ khóa. Điều này giúp quản trị viên / nhà phân tích chịu trách nhiệm phân tích nhật ký cảm thấy tự tin hơn rằng anh ấy / cô ấy thực sự nắm bắt được tất cả các sự kiện mà anh ấy / cô ấy muốn với logwatch.
Đây là một vấn đề cơ bản về gà / trứng về việc làm thế nào để tôi biết tôi cần tìm gì cho đến khi tôi nhìn thấy nó trước đó. Chế độ khám phá từ của petit giúp với điều này. Ngoài ra nó cung cấp đồ thị cli và băm.
Liên kết: http://opensource.eyemg.com/Petit