Мар 09 2010

LogCheck. Утилита для мониторинга логов.

При обслудивании большого числа серверов просматривать логи времени не хватает, занимаешься этим время от времени и пропустить важное событие не составляет труда. Да, даже если смотришь логи регулярно, все равно, вероятность пропустить в большом объеме логов, важное событие, очень велика. Как раз для этих целей и придумали logcheck. Эта утилита ищет в логах события по сигнатуре и при нахождении важной — отписывает на email.

Конечно, 100% полагаться на нее не стоит, но самое основное logcheck проверит.
Ставим logcheck из портов:

cd /usr/ports/security/logcheck/
make install clean

В процессе установки, будет задан 1 вопрос, указать рабочую директорию для logcheck. По умолчанию это /tmp, и менять в принципе смысла нет. По окончании установки, запуск logcheck будет добавлен в cron от имени пользователя logcheck. Пользователь так же будет добавлен при установке. Так же будут установлены конфигурационные файлы с сигнатурами стандартных угроз. По умолчанию отчеты будут идти пользователю logcheck. А для того, что бы вы могли получать отчеты на свой емейл, достаточно прописать его в файле настроек /usr/local/etc/logcheck/logcheck.conf:

SENDMAILTO="hilik@hilik.org.ua"

Так же в этом файле можно определить уровень репортинга. Начиная от workstation — минимальная информация и заканчивая paranoid — наивысший уровень. Уровень по умолчанию — server. Я всегда оставляю server, поскольку при параноид уровне, через чур много лишней информации. workstation — не годится по обратной причине. Слишком слабая проверка на угрозы.

REPORTLEVEL-"server"

Еще один файл /usr/local/etc/logcheck/logcheck.logfiles — в нем описаны имена и пути к логфайлам, которые logcheck будет инспектировать.
Туда нужно будет добавить все лог файлы, которые нужно будет инспектировать logcheсkу.
На этом в принципе все. Можно еще немного погуглить и добавить сигнатур, но в целом, для среднестатистической системы имеющихся сигнатур достаточно. Остается только раз в час читать почту с отчетами.

Добавить в закладки:

google.com bobrdobr.ru del.icio.us technorati.com linkstore.ru news2.ru rumarkz.ru memori.ru moemesto.ru
  • By gunf, 06.08.2010 @ 13:16

    Hilik, здравствуйте, у меня какие-то проблемы с правами доступа пользователя logcheck к логам, не могли бы вы поправить статью?
    Спасибо!

Other Links to this Post


Украинская Баннерная Сеть