Using Logwatch
Использование Logwatch
Logwatch, по умолчанию, ежедневно обрабатывает вчерашние журналы, отсылает письма с низкой детализацией администратору. Для большинства из вас этой ежедневной информации достаточно, чтобы удовлетворить ваши потребности и желание знать, что происходит в системе. Для остальных, чьи системы более чувствительны к безопасности, нужно настроить параметры этого «почти идеального по умолчанию» инструмента.
Вы можете запустить logwatch для определенного диапазона дат. Например, если вы хотите увидеть информацию о вчерашней активности SSHD, то вы можете выполнить следующую команду:
# logwatch —service sshd —range=Today
Проверьте почту администратора (root’a), чтобы увидеть детали отчета. Показана секция SSHD отчета.
——————— SSHD Begin ————————
Illegal users from:
192.168.1.83: 12 times
**Unmatched Entries**
pam_succeed_if(sshd:auth): error retrieving information about user raphael : 3 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user bob : 6 time(s)
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.83 : 4 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user george : 3 time(s)
———————- SSHD End ————————-
Это ваш полученный по умолчанию исходящий отчет logwatch с низкой детализацией. Для более подробного отчета попробуйте использовать –detail=Medium. Проверьте почту администратора (root’a).
# logwatch —service sshd —range=Today —detail=Medium
——————— SSHD Begin ————————
Illegal users from:
192.168.1.83: 12 times
bob/password: 6 times
george/password: 3 times
raphael/password: 3 times
**Unmatched Entries**
pam_succeed_if(sshd:auth): error retrieving information about user raphael : 3time(s)
pam_succeed_if(sshd:auth): error retrieving information about user bob : 6 time(s)
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.83 : 4 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user george : 3 time(s)
———————- SSHD End ————————-
Как вы видите, этот отчет более подробный. Вы можете использовать параметр High, для получения из логов еще более подробного отчета.
# logwatch —service sshd —range=Today —detail=High
——————— SSHD Begin ————————
Illegal users from:
192.168.1.83: 12 times
bob/password: 6 times
george/password: 3 times
raphael/password: 3 times
**Unmatched Entries**
pam_succeed_if(sshd:auth): error retrieving information about user raphael : 3time(s)
pam_succeed_if(sshd:auth): error retrieving information about user bob : 6 time(s)
PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.83 : 4 time(s)
pam_succeed_if(sshd:auth): error retrieving information about user george : 3 time(s)
———————- SSHD End ————————-
Как вы видите, подробности для SSHD не изменились при замене Medium на High. Кроме того, вы можете указать уровень детализации, использовав числа 0, 5 или 10, где 10 – наибольший уровень детализации. Отметьте себе, что вы не сможете получить отчет более подробный, чем тот, что находится в журналах.
Те из вас, кто похож на меня, кто не любит письма из командной строки, можете указать logwatch сохранять отчет в файле.
# logwatch —service sshd —range=Today —detail=High —save=logwatch.today
Если вам нужны другие настройки командной строки, быстродоступный man logwatch (Да, разработчики создали инструкции для Logwatch) даст вам все что нужно.
.
Предыдущая часть здесь. Далее…
Popularity: 4%
Этот материал находится на сайте http://compiling.ru
Loading ...
Оставьте свой отзыв