Prowadzę własny serwer w domu dla mojej osobistej strony z systemem Ubuntu Server z Apache, Bind9 i Django. Jakie dzienniki polecasz najlepiej regularnie śledzić? (zamiast na podstawie czytania, gdy coś pójdzie nie tak). Zastanawiam się nad wykryciem prób włamań (wcześniej występowały błędy SSH) i nietypowego ruchu lub błędów w mojej witrynie.
Odpowiedzi:
Dzienniki zainteresowania:
Korzystam z pakietu logwatch do monitorowania ruchu SMTP i logowania SSH oraz prób uwierzytelnienia. Jest dostępny z większości dystrybucji Linuksa, w tym domyślnie z Ubuntu.
aptitude install logwatch
W przeszłości korzystałem również z logsurfer +, który jest skomplikowanym oprogramowaniem, ale wysoce konfigurowalnym.
Jeśli żadne z tych narzędzi (logwatch, logsurfer +) nie spełnia twoich potrzeb, istnieje wiele rozwiązań do zarządzania logami różnych dostawców. Od pakietów oprogramowania po dedykowane urządzenia. Oto kilka na początek, jeśli chcesz przeprowadzić dodatkowe badania. Nie jestem powiązany z żadną z tych firm lub produktów.
Sugeruję używanie OSSEC do monitorowania twoich logów. Automatycznie wykrywa ważne pliki dziennika i domyślnie monitoruje je wszystkie w czasie rzeczywistym.
Jeśli używasz Ubuntu, przejrzy wszystkie dzienniki uwierzytelnienia, dzienniki apache, dzienniki apt-get (aby zobaczyć, kiedy są instalowane nowe aplikacje) itp.
Jest open source, ma aktywny zespół programistów i jest prosty w użyciu. Przeprowadziliśmy migrację do niego z Logwatch, ponieważ przegląda logi w czasie rzeczywistym zamiast robić to co X godzin, tak jak robi to Log Log.
Link: http://www.ossec.net
Ogólnie oglądam powyższe pliki, ale głównie pliki syslog (/ var / log / messages). Zazwyczaj konfiguruję syslog-ng, aby zapewnić lepsze filtrowanie, i konfiguruję syslog, aby logował się jako * .debug, dzięki czemu wszystko widzę. Wszystko to odczytywany jest przez skrypt powłoki, który ma swoje korzenie w logcheck.sh (przepraszam, zgubiłem link) i codziennie przesyła mi interesujące wiadomości. Ma to zwiększony poziom hałasu, który jest trudny do odfiltrowania, ale używam również poziomu hałasu jako kontroli stanu - jeśli poziom hałasu nagle wzrośnie lub spadnie, coś się zmieniło.
Mam jedno zastrzeżenie dotyczące logwatcha i to „tego” szukać. Napisałem / używam narzędzia o nazwie petit do wykonywania wyszukiwania słów i korelacji. Wykorzystuje kilka prostych technik przetwarzania języka naturalnego do usuwania słów kluczowych. Pomaga to administratorowi / analitykowi odpowiedzialnemu za analizę logów poczuć się bardziej pewnie, że rzeczywiście rejestruje wszystkie zdarzenia, które chce za pomocą Logwatch.
To podstawowy problem z kurczakiem / jajkiem, skąd mam wiedzieć, czego muszę szukać, dopóki go nie zobaczę. Pomaga w tym tryb wykrywania słów petit. Zapewnia również tworzenie wykresów i mieszanie.