Чтобы не париться, и вручную каждый раз не просматривать логи, а например, получать изменения логов (определенный, какие захотите) на почту – можно поставить утилиту под названием logcheck. Итак приступим:
portinstall -R logcheck
Настраиваем:
cat /usr/local/etc/logcheck/logcheck.conf #формат даты в приходящем уведомлении DATE="$(date +'%Y-%m-%d %H:%M')" #включать хеадер и подвал в сообщении INTRO=1 #уровень анализа угрозы, атаки REPORTLEVEL="server" #тут и так все понятно SENDMAILTO="[email protected]" #0 - не приаттачивать репорт, а включать в содержимое письма, 1 - репорт как аттач MAILASATTACH=0 #включать в subject письма домен FQDN=1 #указываем путь к директории, где хранятся наши настройки для проверок RULEDIR="/usr/local/etc/logcheck" #subject в зависимости от уровня обнаруженной угрозы ATTACKSUBJECT="Security Alerts" SECURITYSUBJECT="Security Events" EVENTSSUBJECT="System Events" #и наконец, путь где будут храниться временные файлы logcheck-а TMP="/tmp"
Указываем, какие логи сканировать для обнаружения атаки (угрозы):
cat /usr/local/etc/logcheck/logcheck.logfiles /var/log/messages /var/log/auth.log #Можете добавить еще, по аналогии, если хотите, но помните, что на все эти файлы #должны быть права на чтение не ниже 644
Как это работает:
При установке logcheck, в системе создается новый пользователь logcheck с аналогичной группой, а также запись в cron (от имени logcheck), которая и будет запускать logcheck каждый день в 2 часа ночи, если хотите, можете изменить, с помощью команды:
crontab -u logcheck -e
Ну и конечно же, никто не отменял man logcheck, всем успехов!
