Ich betreibe zu Hause meinen eigenen Server für meine persönliche Website, auf der Ubuntu Server mit Apache, Bind9 und Django ausgeführt wird. Welche Protokolle sollten Sie am besten regelmäßig nachverfolgen? (anstatt auf der Grundlage des Lesens, wenn etwas schief geht). Ich denke an die Erkennung von Eindringversuchen (bei denen ich zuvor SSH-Fehler festgestellt habe) und ungewöhnlichen Datenverkehrs oder Fehlern auf meiner Website.
Antworten:
Protokolle von Interesse:
Ich verwende das Logwatch- Paket zur Überwachung des SMTP-Verkehrs und der SSH-Anmeldungen sowie für Authentifizierungsversuche. Es ist in den meisten Linux-Distributionen verfügbar, einschließlich Ubuntu.
aptitude install logwatch
In der Vergangenheit habe ich auch logsurfer + verwendet , eine komplizierte Software, die jedoch sehr gut konfigurierbar ist.
Wenn keines dieser Tools (Logwatch, Logsurfer +) Ihren Anforderungen entspricht, gibt es eine große Anzahl von Protokollverwaltungslösungen verschiedener Anbieter. Von Softwarepaketen bis zu dedizierten Geräten. Hier sind einige, um loszulegen, wenn Sie zusätzliche Nachforschungen anstellen möchten. Ich bin mit keinem dieser Unternehmen oder Produkte verbunden.
Ich schlage vor, OSSEC zur Überwachung Ihrer Protokolle zu verwenden. Die wichtigen Protokolldateien werden automatisch erkannt und standardmäßig in Echtzeit überwacht.
Wenn Sie Ubuntu verwenden, werden alle Authentifizierungsprotokolle, Apache-Protokolle, Apt-Get-Protokolle (um zu sehen, wann neue Apps installiert sind) usw. angezeigt.
Es ist Open Source, hat ein aktives Entwicklungsteam und ist einfach zu bedienen. Wir haben von logwatch darauf migriert, da die Protokolle in Echtzeit angezeigt werden, anstatt dies alle X Stunden wie bei log watch zu tun.
Link: http://www.ossec.net
Ich schaue mir im Allgemeinen die obigen Dateien an, aber meistens die Syslog-Dateien (/ var / log / messages). Normalerweise habe ich syslog-ng eingerichtet, um eine bessere Filterung zu ermöglichen, und ich habe syslog so eingerichtet, dass es als * .debug protokolliert wird, damit ich alles sehen kann. Dies alles wird von einem Shell-Skript gelesen, das seine Wurzeln in logcheck.sh hat (sorry, den Link verloren) und mir täglich interessante Artikel per E-Mail sendet. Dies hat eine erhöhte Menge an Geräuschen, die schwer herauszufiltern ist, aber ich verwende den Geräuschpegel auch als Gesundheitscheck - wenn der Geräuschpegel plötzlich zunimmt oder abnimmt, hat sich etwas geändert.
Ich habe eine Einschränkung bezüglich Logwatch und das ist "was" zu suchen. Ich habe ein Tool namens petit geschrieben / verwendet, um die Entdeckung und Korrelation von Wörtern durchzuführen. Es werden einige einfache Techniken aus der Verarbeitung natürlicher Sprache verwendet, um Stoppwörter zu entfernen. Dies hilft einem Administrator / Analysten, der für die Protokollanalyse verantwortlich ist, sich sicherer zu fühlen, dass er tatsächlich alle Ereignisse erfasst, die er / sie mit logwatch möchte.
Es ist ein grundlegendes Henne / Ei-Problem, woher ich weiß, wonach ich suchen muss, bis ich es vorher gesehen habe. Der Worterkennungsmodus von petit hilft dabei. Außerdem bietet es Grafik und Hashing.