Welche Protokolle regelmäßig verfolgt werden sollen

11

Ich betreibe zu Hause meinen eigenen Server für meine persönliche Website, auf der Ubuntu Server mit Apache, Bind9 und Django ausgeführt wird. Welche Protokolle sollten Sie am besten regelmäßig nachverfolgen? (anstatt auf der Grundlage des Lesens, wenn etwas schief geht). Ich denke an die Erkennung von Eindringversuchen (bei denen ich zuvor SSH-Fehler festgestellt habe) und ungewöhnlichen Datenverkehrs oder Fehlern auf meiner Website.

Elliot Hughes
quelle

Antworten:

15

Protokolle von Interesse:

  • / var / log / apache2 / * - apache2 logs :)
  • /var/log/auth.log - Authentifizierungsversuche
  • /var/log/daemon.log - System verarbeitet das Protokoll hier
  • / var / log / syslog - hier wird alles protokolliert

Ich verwende das Logwatch- Paket zur Überwachung des SMTP-Verkehrs und der SSH-Anmeldungen sowie für Authentifizierungsversuche. Es ist in den meisten Linux-Distributionen verfügbar, einschließlich Ubuntu.

aptitude install logwatch

In der Vergangenheit habe ich auch logsurfer + verwendet , eine komplizierte Software, die jedoch sehr gut konfigurierbar ist.

Wenn keines dieser Tools (Logwatch, Logsurfer +) Ihren Anforderungen entspricht, gibt es eine große Anzahl von Protokollverwaltungslösungen verschiedener Anbieter. Von Softwarepaketen bis zu dedizierten Geräten. Hier sind einige, um loszulegen, wenn Sie zusätzliche Nachforschungen anstellen möchten. Ich bin mit keinem dieser Unternehmen oder Produkte verbunden.

jtimberman
quelle
1
+1 für Logwatch; das spart mir morgens viel zeit.
RainyRat
Ich lurves mah logwatch.
womble
1
Logwatch scheint großartig zu sein - es zeigte sich sogar etwas, das ich beim ersten Lauf überprüfen musste!
Elliot Hughes
4

Ich schlage vor, OSSEC zur Überwachung Ihrer Protokolle zu verwenden. Die wichtigen Protokolldateien werden automatisch erkannt und standardmäßig in Echtzeit überwacht.

Wenn Sie Ubuntu verwenden, werden alle Authentifizierungsprotokolle, Apache-Protokolle, Apt-Get-Protokolle (um zu sehen, wann neue Apps installiert sind) usw. angezeigt.

Es ist Open Source, hat ein aktives Entwicklungsteam und ist einfach zu bedienen. Wir haben von logwatch darauf migriert, da die Protokolle in Echtzeit angezeigt werden, anstatt dies alle X Stunden wie bei log watch zu tun.

Link: http://www.ossec.net

sucuri
quelle
0

Ich schaue mir im Allgemeinen die obigen Dateien an, aber meistens die Syslog-Dateien (/ var / log / messages). Normalerweise habe ich syslog-ng eingerichtet, um eine bessere Filterung zu ermöglichen, und ich habe syslog so eingerichtet, dass es als * .debug protokolliert wird, damit ich alles sehen kann. Dies alles wird von einem Shell-Skript gelesen, das seine Wurzeln in logcheck.sh hat (sorry, den Link verloren) und mir täglich interessante Artikel per E-Mail sendet. Dies hat eine erhöhte Menge an Geräuschen, die schwer herauszufiltern ist, aber ich verwende den Geräuschpegel auch als Gesundheitscheck - wenn der Geräuschpegel plötzlich zunimmt oder abnimmt, hat sich etwas geändert.

David Mackintosh
quelle
0

Ich habe eine Einschränkung bezüglich Logwatch und das ist "was" zu suchen. Ich habe ein Tool namens petit geschrieben / verwendet, um die Entdeckung und Korrelation von Wörtern durchzuführen. Es werden einige einfache Techniken aus der Verarbeitung natürlicher Sprache verwendet, um Stoppwörter zu entfernen. Dies hilft einem Administrator / Analysten, der für die Protokollanalyse verantwortlich ist, sich sicherer zu fühlen, dass er tatsächlich alle Ereignisse erfasst, die er / sie mit logwatch möchte.

Es ist ein grundlegendes Henne / Ei-Problem, woher ich weiß, wonach ich suchen muss, bis ich es vorher gesehen habe. Der Worterkennungsmodus von petit hilft dabei. Außerdem bietet es Grafik und Hashing.

Link: http://opensource.eyemg.com/Petit

Fatherlinux
quelle