Sử dụng Kiểm tra nhật ký để khắc phục sự cố và vi phạm bảo mật trong tệp nhật ký hệ thống [Linux]
Đó là một thực tế không thể phủ nhận rằng các bản ghi đóng vai trò quan trọng trong việc phát hiện ra các vấn đề về phần mềm hoặc hệ thống cũng như các hoạt động độc hại. Tuy nhiên, với rất nhiều tệp nhật ký và rất nhiều thông tin trong mỗi tệp, việc quản trị hệ thống phân tích chúng trở nên khó khăn một chút.
Mặc dù có rất nhiều công cụ có sẵn có khả năng phân tích nhật ký và tạo ra thông tin có ý nghĩa, nếu bạn đang tìm kiếm một dòng lệnh thay thế tốt, tôi khuyên bạn nên sử dụng logcheck. Trong bài viết này, chúng tôi sẽ thảo luận những điều cơ bản của lệnh này cùng với các tính năng mà nó cung cấp.
Giới thiệu
Mặc dù tài liệu chính thức của logcheck nói rằng nó quét nhật ký hệ thống cho “dòng thú vị”, điều đáng chú ý là những “dòng thú vị” này thực sự là những vấn đề và vi phạm bảo mật mà công cụ phát hiện.
Công cụ này về cơ bản hỗ trợ ba mức lọc:
- Máy chủ : Mức mặc định chứa các quy tắc cho nhiều trình tiện ích khác nhau.
- Paranoid : Mức phù hợp cho các máy bảo mật cao chạy càng ít dịch vụ càng tốt - không sử dụng nó nếu bạn không thể xử lý các thông điệp tiết của nó.
- Workstation : Một mức phù hợp cho các máy có mái che vì nó lọc hầu hết các thông điệp.
Theo mặc định, logcheck chạy như một cronjob theo giờ chỉ cần tắt giờ và sau mỗi lần khởi động lại và gửi kết quả cho bạn trong một e-mail.
Tải xuống và cài đặt
Người dùng các hệ thống dựa trên Debian, như Ubuntu, có thể dễ dàng cài đặt logcheck bằng cách thực hiện lệnh sau:
sudo apt-get cài đặt logcheck
Đây là cách được khuyến nghị để cài đặt công cụ dòng lệnh vì nó sẽ cài đặt phiên bản đã có trong kho lưu trữ bản phân phối Linux của bạn. Ngoài ra, bạn cũng có thể cài đặt tiện ích bằng cách tải xuống từ trang web dự án của nó.
Cấu hình
Trước khi sử dụng lệnh logcheck lần đầu tiên, bạn nên xem tập tin “logcheck.conf” nằm bên trong thư mục “/ etc / logcheck” vì nó chứa các thiết lập biến mà bạn có thể muốn thay đổi theo yêu cầu của bạn.
Dưới đây là một vài ảnh chụp nhanh của tệp này:
Như bạn có thể thấy, một số biến đang hoạt động với các giá trị mặc định của chúng tại chỗ trong khi các biến khác được nhận xét. Bạn có thể thực hiện các thay đổi cho phù hợp với yêu cầu của bạn. Ví dụ: tôi đã bỏ ghi chú ngày DATE cũng như biến ATTACKSUBJECT, SECURITYSUBJECT và EVENTSSUBJECT và thay đổi giá trị của biến SENDMAILTO thành địa chỉ email của tôi.
Bên cạnh “logcheck.conf, ” cũng có một tệp “logcheck.logfiles” xuất hiện trong cùng thư mục chứa danh sách các tệp nhật ký sẽ được kiểm tra bởi lệnh logcheck.
Bạn có thể thêm nhiều tệp nhật ký vào tệp này, nhưng hãy đảm bảo rằng mỗi mục nhập được thêm vào trong một dòng riêng biệt.
Sử dụng
Dưới đây là một số ví dụ về cách lệnh logcheck có thể được sử dụng:
Lưu ý : tất cả các ví dụ được trình bày trong bài viết này đều được thử nghiệm trên Ubuntu 14.04.
Gửi email ngay lập tức
Mặc dù logcheck gửi email định kỳ theo mặc định, bạn có thể sử dụng tùy chọn -m
để buộc nó gửi ngay lập tức. Ví dụ, khi tôi thực hiện lệnh sau:
logcheck -m
Email sau đã được gửi tới hộp thư đến của tôi:
Ghi chú :
1. Bạn có thể sử dụng tùy chọn -h
theo sau là tên máy chủ để sử dụng tên máy chủ đó trong chủ đề của email.
2. Bạn có thể sử dụng tùy chọn -o
để gửi báo cáo đến stdout, thay vì gửi email.
Ghi đè các tệp nhật ký và tệp cấu hình mặc định
Như đã thảo luận, theo mặc định, lệnh logcheck sử dụng các tệp “/etc/logcheck/logcheck.logfiles” và “/etc/logcheck/logcheck.conf” để đọc các tệp nhật ký cần theo dõi và các thiết lập cấu hình riêng của nó tương ứng. Nhưng bạn có thể thay đổi hành vi này và có lệnh đọc các tập tin nằm ở bất kỳ vị trí nào khác bằng cách sử dụng các tùy chọn -L
và -C
.
Ví dụ, lệnh sau sẽ đọc “mylogcheck.conf” nằm trong thư mục chính của tôi:
logcheck -C /home/himanshu/mylogcheck.conf
Tương tự, lệnh sau sẽ đọc “mylogcheck.logfiles” có trong thư mục chính của tôi:
logcheck -L /home/himanshu/mylogcheck.logfiles
Lưu ý : bạn cũng có thể sử dụng tùy chọn dòng lệnh -r
theo sau là tên thư mục để ghi đè thư mục quy tắc mặc định.
Giữ lại các offset logfile bằng cách sử dụng tùy chọn -t
Lệnh logcheck sử dụng một chương trình gọi là “logtail” để ghi nhớ vị trí cuối cùng mà nó đọc từ một tệp nhật ký. Nhưng nếu bạn muốn chạy lệnh trong chế độ thử nghiệm, tức là không cập nhật các offset logfile, bạn có thể sử dụng tùy chọn -t
.
Lệnh sau sẽ báo cáo các lo ngại về bảo mật hoặc vi phạm nhưng sẽ không cập nhật số bù:
logcheck -t
Để biết thêm thông tin về lệnh này, hãy xem trang hướng dẫn của nó.
Phần kết luận
Logcheck không chỉ đơn giản để sử dụng, nhưng nó cũng rất tùy biến. Tôi muốn nói đó là một công cụ phải có cho bất kỳ quản trị viên hệ thống nào chủ yếu là do khả năng của nó. Bạn đã từng sử dụng logcheck chưa? Trải nghiệm của bạn thế nào? Chia sẻ suy nghĩ của bạn trong phần bình luận bên dưới.