Het is een onmiskenbaar feit dat logboeken een belangrijke rol spelen bij het blootleggen van software- of systeemproblemen, evenals bij kwaadwillende activiteiten. Echter, met zoveel logbestanden en veel informatie in elk van hen, wordt het een beetje moeilijk voor systeembeheerders om ze correct te analyseren.

Hoewel er veel tools beschikbaar zijn die in staat zijn om logbestanden te analyseren en zinvolle informatie te produceren, als u op zoek bent naar een goed alternatief voor een opdrachtregel, zou ik u aanraden om logcheck te gebruiken. In dit artikel bespreken we de basis van deze opdracht samen met de functies die deze biedt.

Invoering

Hoewel de officiële documentatie van logcheck zegt dat het systeemlogboeken scant op "interessante regels", is het de moeite waard te benadrukken dat deze "interessante regels" eigenlijk de problemen en veiligheidsschendingen zijn die het hulpprogramma detecteert.

De tool ondersteunt in principe drie niveaus van filteren:

  • Server : het standaardniveau dat regels voor veel verschillende daemons bevat.
  • Paranoïde : een niveau dat geschikt is voor zeer veilige machines met zo min mogelijk diensten - gebruik het niet als u de uitgebreide berichten niet kunt verwerken.
  • Werkstation : een niveau dat geschikt is voor beschutte machines omdat het de meeste berichten filtert.

Standaard wordt logcheck uitgevoerd als een uurlijkse cronjob net buiten het uur en na elke herstart en worden de resultaten naar u verzonden in een e-mail.

Download en installeer

Gebruikers van op Debian gebaseerde systemen, zoals Ubuntu, kunnen logcheck gemakkelijk installeren door het volgende commando uit te voeren:

 sudo apt-get install logcheck 

Dit is de aanbevolen manier om het opdrachtregelhulpprogramma te installeren, omdat het de versie installeert die al in de repository van je Linux-distributie staat. Als alternatief kunt u het hulpprogramma ook installeren door het te downloaden van de projectwebsite.

Configuratie

Voordat u de logcheck-opdracht voor de eerste keer gebruikt, moet u het bestand "logcheck.conf" in de map "/ etc / logcheck" bekijken omdat het variabele instellingen bevat die u mogelijk wilt wijzigen volgens uw vereisten.

Hier zijn een aantal snapshots van dit bestand:

Zoals je ziet, zijn sommige variabelen actief met hun standaardwaarden op hun plaats terwijl anderen worden becommentarieerd. U kunt de wijzigingen aanpassen aan uw vereisten. Ik heb bijvoorbeeld de DATE evenals de ATTACKSUBJECT-, SECURITYSUBJECT- en EVENTSSUBJECT-variabelen uitgeschakeld en de waarde van de SENDMAILTO-variabele gewijzigd in mijn e-mailadres.

Naast "logcheck.conf" is er ook een bestand "logcheck.logfiles" aanwezig in dezelfde map dat een lijst met logbestanden bevat die worden gecontroleerd door de opdracht logcheck.

U kunt meer logbestanden aan dit bestand toevoegen, maar zorg ervoor dat elk item op een afzonderlijke regel wordt toegevoegd.

Gebruik

Hier zijn enkele voorbeelden van hoe de logcheck-opdracht kan worden gebruikt:

Opmerking : alle voorbeelden in dit artikel zijn getest op Ubuntu 14.04.

Stuur onmiddellijk een e-mail

Terwijl logcheck standaard e-mail standaard verzendt, kunt u de optie -m gebruiken om deze onmiddellijk te verzenden. Bijvoorbeeld toen ik de volgende opdracht uitvoerde:

 logcheck -m 

De volgende e-mail is in mijn Postvak IN bezorgd:

Opmerking :
1. U kunt de optie -h gevolgd door een hostnaam gebruiken om die hostnaam te gebruiken in het onderwerp van de e-mail.

2. U kunt de optie -o gebruiken om het rapport naar stdout te verzenden in plaats van per e-mail.

Overschrijf de standaard logbestand- en configuratiebestandslijsten

Zoals reeds besproken, gebruikt de logcheck-opdracht standaard "/etc/logcheck/logcheck.logfiles" en "/etc/logcheck/logcheck.conf" -bestanden voor het lezen van de te bewaken logbestanden en de eigen configuratie-instellingen. Maar je kunt dit gedrag veranderen en de opdracht bestanden op een andere locatie laten lezen met behulp van de -L en -C opties.

Het volgende commando zou bijvoorbeeld "mylogcheck.conf" in mijn homedirectory kunnen lezen:

 logcheck -C /home/himanshu/mylogcheck.conf 

Op dezelfde manier zou het volgende commando "mylogcheck.logfiles" in mijn homedirectory lezen:

 logcheck -L /home/himanshu/mylogcheck.logfiles 

Opmerking : u kunt ook de optie -r opdrachtregel gebruiken gevolgd door een mapnaam om de standaardregelmap te overschrijven.

Bewaar de logfile-offsets met de optie -t

De logcheck-opdracht maakt gebruik van een programma met de naam "logtail" dat de laatste positie onthoudt die in een logbestand is gelezen. Maar als u de opdracht in de testmodus wilt uitvoeren, dwz zonder de offsets voor logboekbestanden bij te werken, kunt u de optie -t gebruiken.

Met de volgende opdracht worden beveiligingsproblemen of schendingen gemeld, maar worden de offsets niet bijgewerkt:

 logcheck -t 

Voor meer informatie over deze opdracht, gaat u naar de man-pagina.

Conclusie

Logcheck is niet alleen eenvoudig te gebruiken, maar het is ook uiterst aanpasbaar. Ik zou zeggen dat het een must-have tool is voor elke systeembeheerder, vooral vanwege zijn mogelijkheden. Heb je ooit een logcheck gebruikt? Hoe was je ervaring? Deel uw mening in de reacties hieronder.