Det är ett obestridligt faktum att loggar spelar en viktig roll för att avslöja program- eller systemproblem samt skadliga aktiviteter. Men med så många loggfiler och mycket information i var och en av dem blir det lite svårt för systemadministratörer att analysera dem ordentligt.

Även om det finns många verktyg tillgängliga som kan analysera loggar och producera meningsfull information, om du letar efter ett bra kommandoradsalternativ, skulle jag föreslå att du använder logcheck. I den här artikeln kommer vi att diskutera grunderna för detta kommando tillsammans med de funktioner som den tillhandahåller.

Introduktion

Även om den officiella dokumentationen av logcheck säger att den skannar systemloggar för "intressanta linjer", är det värt att betona att dessa "intressanta linjer" faktiskt är de problem och säkerhetsbrott som verktyget upptäcker.

Verktyget stöder i grunden tre nivåer av filtrering:

  • Server : Standardnivån som innehåller regler för många olika daemoner.
  • Paranoid : En nivå som är lämplig för högkapacitetsmaskiner kör så få tjänster som möjligt - använd inte den om du inte kan hantera de verbala meddelandena.
  • Arbetsstation : En nivå som passar för skyddade maskiner eftersom det filtrerar de flesta av meddelandena.

Som standard körs logcheck som en timmes cronjob strax utanför timmen och efter varje omstart och skickar resultaten till dig i ett e-postmeddelande.

Ladda ner och installera

Användare av Debian-baserade system, som Ubuntu, kan enkelt installera logcheck genom att utföra följande kommando:

 sudo apt-get install logcheck 

Det här är det rekommenderade sättet att installera kommandoradsverktyget eftersom det installerar den version som redan finns i förvaret på din Linux-distribution. Alternativt kan du också installera verktyget genom att ladda ner det från projektets webbplats.

Konfiguration

Innan du använder logcheck-kommandot för första gången bör du titta på filen "logcheck.conf" som finns i katalogen "/ etc / logcheck" eftersom den innehåller variabla inställningar som du kanske vill ändra efter dina önskemål.

Här är några snapshots av den här filen:

Som du kan se är vissa av variablerna aktiva med sina standardvärden på plats medan andra kommenteras. Du kan göra ändringar som passar dina krav. Till exempel har jag inte kommenterat DATE såväl som ATTACKSUBJECT, SECURITYSUBJECT och EVENTSSUBJECT-variablerna och ändrat värdet av SENDMAILTO-variabel till min e-postadress.

Förutom "logcheck.conf" finns det även en "logcheck.logfiles" -fil som finns i samma katalog som innehåller en lista över loggfiler som kommer att kontrolleras av logcheck-kommandot.

Du kan lägga till fler loggfiler till den här filen, men se till att varje post läggs till i en separat rad.

Användande

Här är några exempel på hur logcheck-kommandot kan användas:

Obs! Alla exempel som presenteras i denna artikel testas på Ubuntu 14.04.

Skicka e-post omedelbart

Medan logcheck skickar e-post regelbundet som standard kan du använda -m alternativet för att tvinga det att skicka en omedelbart. Till exempel när jag utförde följande kommando:

 logcheck -m 

Följande mail skickades till min inkorg:

Obs :
1. Du kan använda alternativet -h följt av ett värdnamn för att använda värdnamnet i ämnet för e-postmeddelandet.

2. Du kan använda -o alternativet för att skicka rapporten till stdout, snarare än e-post.

Åsidosätta standardloggfilen och konfigurationsfillistorna

Som redan diskuterat använder logcheck-kommandot "/etc/logcheck/logcheck.logfiles" och "/etc/logcheck/logcheck.conf" -filerna för att läsa de loggfiler som ska övervakas och respektive egna konfigurationsinställningar. Men du kan ändra detta beteende och få kommandot läsa filer som finns på någon annan plats med hjälp av -L och -C alternativen.

Till exempel skulle följande kommando läsa "mylogcheck.conf" i min hemkatalog:

 logcheck -C /home/himanshu/mylogcheck.conf 

På samma sätt skulle följande kommando läsa "mylogcheck.logfiles" som finns i min hemkatalog:

 logcheck -L /home/himanshu/mylogcheck.logfiles 

Obs! Du kan också använda alternativet -r kommandoraden följt av ett katalognamn för att åsidosätta standardregistren.

Behåll logfilens förskjutningar med -t-alternativet

Logcheck-kommandot använder ett program som heter "logtail" som kommer ihåg det sista läget det läser från i en loggfil. Men om du vill köra kommandot i testläge, det vill säga utan att uppdatera logfileförskjutningarna, kan du använda alternativet -t .

Följande kommando kommer att rapportera säkerhetsproblem eller överträdelser men uppdaterar inte offsetsna:

 logcheck -t 

För mer information om detta kommando, gå igenom sin man sida.

Slutsats

Logcheck är inte bara enkel att använda, men det är också extremt anpassningsbart. Jag skulle säga att det är ett måste verktyg för en systemadministratör, främst på grund av dess kapacitet. Har du någonsin använt logcheck? Hur var din erfarenhet? Dela dina tankar i kommentarerna nedan.