정기적으로 추적 할 로그 Ubuntu Server를 실행하는

Apache, Bind9 및 Django와 함께 Ubuntu Server를 실행하는 개인 웹 사이트를 위해 집에서 자체 서버를 실행합니다. 정기적으로 추적하는 것이 가장 좋은 로그는 무엇입니까? (문제가 생겼을 때 독서에 근거한 것이 아니라). 침입 시도 (이전에 SSH 오류가 발생했습니다) 및 비정상적인 트래픽이나 사이트 오류를 ​​감지하려고합니다.



답변

관심 로그 :

  • / var / log / apache2 / *-Apache2 로그 🙂
  • /var/log/auth.log-인증 시도
  • /var/log/daemon.log-시스템 프로세스 로그를 여기에
  • / var / log / syslog-모든 것이 여기에 기록됩니다

SMTP 트래픽 및 SSH 로그인과 인증 시도를 모니터링 하기 위해 logwatch 패키지를 사용합니다 . 기본적으로 우분투를 포함한 대부분의 Linux 배포판에서 사용할 수 있습니다.

aptitude install logwatch

과거 에는 복잡한 소프트웨어 조각이지만 고도로 구성 가능한 logsurfer + 도 사용 했습니다 .

이러한 도구 (logwatch, logsurfer +) 중 어느 것도 귀하의 요구를 충족시키지 못하면 여러 공급 업체의 수많은 로그 관리 솔루션이 있습니다. 소프트웨어 패키지에서 전용 장치까지. 추가 연구를하려면 몇 가지 시작해야합니다. 나는 이러한 회사 나 제품과 관련이 없습니다.


답변

OSSEC을 사용하여 로그를 모니터링하는 것이 좋습니다. 중요한 로그 파일을 자동 감지하고 기본적으로 모든 파일을 실시간으로 모니터링합니다.

Ubuntu를 사용하는 경우 모든 인증 로그, 아파치 로그, apt-get 로그 (새 앱 설치시기 확인) 등을 확인합니다.

오픈 소스이며 활발한 개발 팀이 있으며 사용이 간편합니다. 우리는 logwatch처럼 X 시간마다 로그를 보지 않고 실시간으로 로그를 보므로 logwatch에서 마이그레이션했습니다.

링크 : http://www.ossec.net


답변

일반적으로 위의 파일을 보지만 대부분 syslog 파일 (/ var / log / messages)을 봅니다. 필자는 일반적으로 더 나은 필터링을 제공하기 위해 syslog-ng를 설정했으며 모든 것을 볼 수 있도록 * .debug로 로그하도록 syslog를 설정했습니다. 이것은 logcheck.sh에 루트가 있고 (링크를 잃어버린) 쉘 스크립트에 의해 읽히고 매일 흥미로운 항목을 메일로 보냅니다. 이것은 걸러 내기 어려운 소음의 양이 증가하지만 소음 수준을 상태 점검으로도 사용합니다. 소음 수준이 갑자기 증가하거나 감소하면 무언가가 변경되었습니다.


답변

나는 logwatch에 대해 한가지주의 할 점이있다. 단어 검색 및 상관 관계를 수행하기 위해 petit라는 도구를 작성 / 사용했습니다. 자연어 처리의 몇 가지 간단한 기술을 사용하여 불용어를 제거합니다. 이를 통해 로그 분석을 담당하는 관리자 / 분석가는 실제로 자신이 원하는 모든 이벤트를 로그 와치로 파악하고 있다고 확신 할 수 있습니다.

그것은 이전에 그것을 볼 때까지 내가 무엇을 검색해야하는지 어떻게 알 수있는 기본적인 닭 / 계란 문제입니다. petit의 단어 발견 모드가이를 도와줍니다. 또한 CLI 그래프 및 해싱을 제공합니다.

링크 : http://opensource.eyemg.com/Petit