ซึ่งบันทึกการติดตามเป็นประจำ

ฉันใช้เซิร์ฟเวอร์ของตัวเองที่บ้านสำหรับเว็บไซต์ส่วนตัวที่ใช้งาน Ubuntu Server กับ Apache, Bind9 และ Django บันทึกอะไรที่คุณแนะนำให้ดีที่สุดคือการติดตามเป็นประจำ? (แทนที่จะอ่านบนพื้นฐานของสิ่งที่ผิดพลาด) ฉันคิดว่าจะตรวจจับความพยายามในการบุกรุก (ก่อนหน้านี้ฉันเคยพบข้อผิดพลาด SSH) และการรับส่งข้อมูลผิดปกติหรือข้อผิดพลาดบนไซต์ของฉัน

บันทึกที่น่าสนใจ:

• / var / log / apache2 / * - บันทึก apache2 :)
• /var/log/auth.log - พยายามตรวจสอบสิทธิ์
• /var/log/daemon.log - กระบวนการของระบบเข้าสู่ระบบที่นี่
• / var / log / syslog - บันทึกทุกอย่างที่นี่

ฉันใช้แพคเกจlogwatchสำหรับตรวจสอบปริมาณการใช้งาน SMTP และการเข้าสู่ระบบ SSH และความพยายามในการตรวจสอบความถูกต้อง มันสามารถใช้ได้จากการกระจาย Linux ส่วนใหญ่รวมถึง Ubuntu โดยค่าเริ่มต้น

aptitude install logwatch

ในอดีตที่ผ่านมาฉันเคยใช้Logurfer +ซึ่งเป็นซอฟต์แวร์ที่ซับซ้อน แต่สามารถกำหนดค่าได้สูง

หากไม่มีเครื่องมือเหล่านี้ (logwatch, logsurfer +) ที่ตรงกับความต้องการของคุณมีโซลูชั่นการจัดการบันทึกจำนวนมากจากผู้จำหน่ายหลายราย ตั้งแต่แพ็คเกจซอฟต์แวร์ไปจนถึงอุปกรณ์เฉพาะ ต่อไปนี้เป็นวิธีเริ่มต้นถ้าคุณต้องการทำวิจัยเพิ่มเติม ฉันไม่ได้เกี่ยวข้องกับ บริษัท หรือผลิตภัณฑ์ใด ๆ เหล่านี้

• Splunk
• ArcSight
• AlertLogic
• SANS Institute มีทรัพยากรเพิ่มเติมมากมาย

ฉันแนะนำให้ใช้ OSSEC เพื่อตรวจสอบบันทึกของคุณ มันจะตรวจจับไฟล์บันทึกที่สำคัญโดยอัตโนมัติและตรวจสอบทั้งหมดของพวกเขาในเวลาจริงตามค่าเริ่มต้น

หากคุณใช้งาน Ubuntu มันจะตรวจสอบบันทึกการตรวจสอบทั้งหมดบันทึก apache บันทึกการรับ apt-get (เพื่อดูว่ามีการติดตั้งแอพใหม่หรือไม่)

เป็นโอเพ่นซอร์สมีทีมพัฒนาที่ใช้งานง่ายและใช้งานง่าย เราย้ายไปจาก logwatch เพราะดูบันทึกในเวลาจริงแทนที่จะทำอย่างนั้นทุก ๆ สิบชั่วโมงเหมือนที่เฝ้าดูบันทึก

ลิงก์: http://www.ossec.net

ฉันมักจะดูไฟล์ข้างต้น แต่ส่วนใหญ่ไฟล์ syslog (/ var / log / ข้อความ) ฉันมักจะตั้งค่า syslog-ng เพื่อให้การกรองที่ดีขึ้นและฉันตั้งค่า syslog เพื่อเข้าสู่ระบบเป็น * .debug เพื่อให้ฉันเห็นทุกอย่าง นี่คือทั้งหมดที่อ่านโดยเชลล์สคริปต์ซึ่งมีรากอยู่ใน logcheck.sh (ขออภัยทำลิงก์หาย) และส่งรายการที่น่าสนใจให้ฉันทุกวัน นี่เป็นเสียงรบกวนที่เพิ่มขึ้นซึ่งยากต่อการกรอง แต่ฉันใช้ระดับเสียงเป็นเครื่องตรวจสุขภาพเช่นกัน - หากระดับเสียงเพิ่มขึ้นหรือลดลงอย่างกะทันหันมีบางอย่างเปลี่ยนไป

ฉันมีข้อแม้อย่างหนึ่งเกี่ยวกับ logwatch และนั่นคือ "อะไร" ที่ควรมอง ฉันเขียน / ใช้เครื่องมือที่เรียกว่า petit เพื่อทำการค้นหาคำและสหสัมพันธ์ มันใช้เทคนิคง่ายๆสองสามอย่างจากการประมวลผลภาษาธรรมชาติเพื่อลบคำหยุด สิ่งนี้จะช่วยให้ผู้ดูแลระบบ / นักวิเคราะห์ที่รับผิดชอบการวิเคราะห์บันทึกรู้สึกมั่นใจมากขึ้นว่าเขา / เธอเป็นจริงโดยจับเหตุการณ์ทั้งหมดที่เขา / เธอต้องการด้วยการดู

มันเป็นปัญหาไก่ / ไข่ขั้นพื้นฐานฉันจะรู้ได้อย่างไรว่าฉันต้องค้นหาอะไรจนกระทั่งฉันได้เห็นมาก่อน โหมดการค้นพบคำว่า Petit ช่วยได้ในเรื่องนี้ นอกจากนี้ยังมีการทำกราฟและ cli hashing

ลิงก์: http://opensource.eyemg.com/Petit