logcheck держим руку на пульсе. Установка в Debian. Аудит журналов Linux.

Logcheck эта та утилита которая облегчит жизнь сознательным администраторам. Тем кто осознал всю мощь отладочной информации, тем кто хочет своевременно узнавать о проблемах сервера, попытках несакцианированного доступа и прочей полезной информации.

Установка:
root@test:~# apt-get install logcheck
или если вы не используйте roota напрямую
test@test:~$ sudo apt-get install logcheck
Примеры использования далее.

Конфигурационный файл /etc/logcheck/logcheck.conf
Посмотрим какие опции включены
root@test:~# grep ^[^#] /etc/logcheck/logcheck.conf
REPORTLEVEL="paranoid"
SENDMAILTO="logcheck"
MAILASATTACH=0
FQDN=1
TMP="/tmp"
REPORTLEVEL Уровень отладочной информации, workstation, server, paranoid. Для начала советую выставить уровень paranoid для учебных целей.

SENDMAILTO на чей почтовый ящик отправлять сообщения, тут ничего не нужно менять.
MAILASATTACH отсылать результат во вложение 1-да, 0-нет.
FQDN использовать полное имя домена в заголовке письма 1-да 0-нет.
TMP альтернативная директория для временных файлов logcheck. Если у вас периодически заканчивается квота или заполняется диск на котором находиться /tmp то для правильной работы logcheck нужно выделить другую директорию.

Планировщик(cron) смотрим когда у нас будет работать утилита logcheck
root@test:~# cat /etc/cron.d/logcheck
# /etc/cron.d/logcheck: crontab entries for the logcheck package

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

@reboot         logcheck    if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck -R; fi
2 * * * *       logcheck    if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi

# EOF
@reboot после перезагрузки
2 * * * * каждая 2 минута, * каждого часа, * каждого дня, * каждого месяца, * в любой день недели(Пн, Вт, Ср, Чт, Пт, Сб, Вс).

Как и где смотреть письма.
 Сейчас мы настроили logcheck на отправку писем для локального пользователя logcheck. Но письма на самом деле будут отсылаться на другой почтовый ящик, какой? Смотрим почтовые псевдонимы.
root@test:~# cat /etc/aliases
# /etc/aliases
mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
root:ruslan
logcheck: root
Откуда мы узнаем что logcheck это root (logcheck: root), а root это ruslan (root:ruslan)

Читаем сообщения.
Консольная утилита mail -u имя_пользователя
root@test:~# mail -u ruslan
Mail version 8.1.2 01/15/2001.  Type ? for help.
"/var/mail/ruslan": 21 messages 21 unread
>U  1 root@test          Wed Jun 08 06:25   20/826   exim paniclog on test has non-zero size
 U  2 root@test          Thu Jun 09 06:25   20/826   exim paniclog on test has non-zero size
 U  3 root@test          Fri Jun 10 06:25   20/826   exim paniclog on test has non-zero size
 U  4 root@test          Sat Jun 11 06:25   20/826   exim paniclog on test has non-zero size
 U  5 root@test          Sun Jun 12 06:25   20/826   exim paniclog on test has non-zero size
 U  6 root@test          Mon Jun 13 06:25   20/826   exim paniclog on test has non-zero size
 U  7 root@test          Tue Jun 14 06:25   20/826   exim paniclog on test has non-zero size
 U  8 root@test          Wed Jun 15 06:25   20/826   exim paniclog on test has non-zero size
 U  9 root@test          Thu Jun 16 06:25   20/826   exim paniclog on test has non-zero size
 U 10 root@test          Sat Jun 18 06:25   21/945   exim paniclog on test has non-zero size
 U 11 root@test          Sun Jun 19 06:25   21/945   exim paniclog on test has non-zero size
 U 12 root@test          Mon Jun 20 06:25   21/945   exim paniclog on test has non-zero size
 U 13 root@test          Tue Jun 21 06:25   21/945   exim paniclog on test has non-zero size
 U 14 logcheck@test      Tue Jun 21 11:02   36/2064  test 2011-06-21 11:02 System Events
 U 15 logcheck@test      Tue Jun 21 12:02  285/32251 test 2011-06-21 12:02 System Events
 U 16 logcheck@test      Tue Jun 21 13:02  555/64921 test 2011-06-21 13:02 System Events
 U 17 logcheck@test      Tue Jun 21 14:02  547/63953 test 2011-06-21 14:02 System Events
 U 18 logcheck@test      Tue Jun 21 15:02  555/64921 test 2011-06-21 15:02 System Events
 U 19 logcheck@test      Tue Jun 21 15:17  248/24940 test 2011-06-21 15:17 System Events
 U 20 logcheck@test      Tue Jun 21 23:02  790/80606 test 2011-06-21 23:02 System Events
 U 21 logcheck@test      Wed Jun 22 00:02  368/36591 test 2011-06-22 00:02 System Events
&
Смотрим что в нашем ящике накопилась почта не только от logcheck, но и от других сервисов, которые требуют нашего внимания.
Чтобы прочитать письмо просто введите номер следующий за буквой U(unread не прочитано).
Чтобы выйти из режима чтения нажмите q. Читаем, анализируем, ищем пути решения.
Выйти из программы mail нажмите q
Обратите внимание на последние строчки
& q
Saved 1 message in /root/mbox
Held 20 messages in /var/mail/ruslan
root@test:~#
Это означает что прочитанное вами письмо сохранилось в /root/mbox и у нас осталось 20 непрочитанных писем.
Для того чтобы, прочитать письма из /root/mbox укажите опцию -f путь
root@test:~# mail -f /root/mbox
Mail version 8.1.2 01/15/2001.  Type ? for help.
"/root/mbox": 5 messages
>   1 logcheck@test      Wed Jun 22 09:02   29/1203  test 2011-06-22 09:02 System Events
    2 logcheck@test      Wed Jun 22 07:02   27/1116  test 2011-06-22 07:02 System Events
    3 root@test          Mon Jun 06 06:25   20/827   exim paniclog on test has non-zero size
    4 root@test          Tue Jun 07 06:25   20/827   exim paniclog on test has non-zero size
    5 logcheck@test      Wed Jun 22 00:02  368/36592 test 2011-06-22 00:02 System Events
&
Внутренние устройство и тонкая настройка будет рассмотрена в следующих статьях.
PS. Дистрибутивы like RedHat для этих целей используют пакет logwatch.

Комментарии

Популярные сообщения