Установка logcheck для слежения за логами

25/03/2012
от
Поделиться

Чтобы не париться, и вручную каждый раз не просматривать логи, а например, получать изменения логов (определенный, какие захотите) на почту — можно поставить утилиту под названием logcheck. Итак приступим:

portinstall -R logcheck

Настраиваем:

cat /usr/local/etc/logcheck/logcheck.conf
#формат даты в приходящем уведомлении
DATE="$(date +'%Y-%m-%d %H:%M')"
#включать хеадер и подвал в сообщении
INTRO=1
#уровень анализа угрозы, атаки
REPORTLEVEL="server"
#тут и так все понятно
SENDMAILTO="[email protected]"
#0 - не приаттачивать репорт, а включать в содержимое письма, 1 - репорт как аттач
MAILASATTACH=0
#включать в subject письма домен
FQDN=1
#указываем путь к директории, где хранятся наши настройки для проверок
RULEDIR="/usr/local/etc/logcheck"
#subject в зависимости от уровня обнаруженной угрозы
ATTACKSUBJECT="Security Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
#и наконец, путь где будут храниться временные файлы logcheck-а
TMP="/tmp"

Указываем, какие логи сканировать для обнаружения атаки (угрозы):

cat /usr/local/etc/logcheck/logcheck.logfiles
/var/log/messages
/var/log/auth.log
#Можете добавить еще, по аналогии, если хотите, но помните, что на все эти файлы
#должны быть права на чтение не ниже 644

Как это работает:

При установке logcheck, в системе создается новый пользователь logcheck с аналогичной группой, а также запись в cron (от имени logcheck), которая и будет запускать logcheck каждый день в 2 часа ночи, если хотите, можете изменить, с помощью команды:

crontab -u logcheck -e

Ну и конечно же, никто не отменял man logcheck, всем успехов!

Поделиться

Метки: , , , , , , , ,

Ответить

Вы должны войти в систему, чтобы оставить комментарий.