Một thực tế không thể phủ nhận là nhật ký đóng một phần quan trọng trong việc phát hiện ra các vấn đề về phần mềm hoặc hệ thống cũng như các hoạt động độc hại. Tuy nhiên, với quá nhiều tệp nhật ký và rất nhiều thông tin trong mỗi tệp, quản trị viên hệ thống sẽ gặp một chút khó khăn trong việc phân tích chúng một cách chính xác.

Mặc dù có nhiều công cụ có sẵn có khả năng phân tích nhật ký và tạo ra thông tin có ý nghĩa, nhưng nếu bạn đang tìm kiếm một giải pháp thay thế dòng lệnh tốt, tôi khuyên bạn nên sử dụng kiểm tra nhật ký. Trong bài viết này, chúng ta sẽ thảo luận về những điều cơ bản của lệnh này cùng với các tính năng mà nó cung cấp.

Giới thiệu

Mặc dù tài liệu chính thức về logcheck nói rằng nó quét nhật ký hệ thống để tìm interesting lines, đáng nhấn mạnh rằng những interesting lines thực sự là các vấn đề và vi phạm bảo mật mà công cụ phát hiện.

Về cơ bản, công cụ này hỗ trợ ba cấp độ lọc:

  • Người phục vụ: Mức mặc định chứa các quy tắc cho nhiều daemon khác nhau.
  • Hoang tưởng: Mức phù hợp cho các máy bảo mật cao chạy càng ít dịch vụ càng tốt – không sử dụng mức này nếu bạn không thể xử lý các thông báo dài dòng của nó.
  • Máy trạm: Một mức phù hợp cho các máy có mái che vì nó lọc hầu hết các tin nhắn.

Theo mặc định, logcheck chạy như một cronjob hàng giờ chỉ ngoài giờ và sau mỗi lần khởi động lại và gửi kết quả cho bạn qua e-mail.

Tải xuống và cài đặt

Người dùng hệ thống dựa trên Debian, chẳng hạn như Ubuntu, có thể dễ dàng cài đặt logcheck bằng cách thực hiện lệnh sau:

Đây là cách được khuyến nghị để cài đặt công cụ dòng lệnh vì nó sẽ cài đặt phiên bản đã có trong kho lưu trữ của bản phân phối Linux của bạn. Ngoài ra, bạn cũng có thể cài đặt tiện ích bằng cách tải xuống từ trang web dự án.

Cấu hình

Trước khi sử dụng lệnh logcheck lần đầu tiên, bạn nên xem qua logcheck.conf nằm bên trong /etc/logcheck vì nó chứa các cài đặt có thể thay đổi mà bạn có thể muốn thay đổi theo yêu cầu của mình.

Dưới đây là một số ảnh chụp nhanh của tệp này:

Như bạn có thể thấy, một số biến đang hoạt động với các giá trị mặc định của chúng trong khi các biến khác được nhận xét. Bạn có thể thực hiện các thay đổi cho phù hợp với yêu cầu của mình. Ví dụ: tôi đã bỏ ghi chú DATE cũng như các biến ATTACKSUBJECT, SECURITYSUBJECT và EVENTSSUBJECT, đồng thời thay đổi giá trị của biến SENDMAILTO thành địa chỉ email của tôi.

bên cạnh đó logcheck.conf, Cũng có một logcheck.logfiles hiện có trong cùng một thư mục chứa danh sách tệp nhật ký sẽ được kiểm tra bằng lệnh logcheck.

logcheck-logfiles

Bạn có thể thêm nhiều tệp nhật ký hơn vào tệp này, nhưng hãy đảm bảo rằng mỗi mục nhập được thêm vào một dòng riêng biệt.

Sử dụng

Dưới đây là một số ví dụ về cách sử dụng lệnh logcheck:

Ghi chú: tất cả các ví dụ được trình bày trong bài viết này đều được thử nghiệm trên Ubuntu 14.04.

Gửi email ngay lập tức

Trong khi kiểm tra nhật ký gửi email định kỳ theo mặc định, bạn có thể sử dụng -m để buộc nó gửi một cái ngay lập tức. Ví dụ: khi tôi thực hiện lệnh sau:

Email sau đã được gửi đến hộp thư đến của tôi:

logcheck-email

Ghi chú:
1. Bạn có thể sử dụng -h theo sau là một tên máy chủ để sử dụng tên máy chủ đó trong chủ đề của email.

2. Bạn có thể sử dụng -o gửi báo cáo đến stdout, thay vì gửi email.

Ghi đè danh sách tệp cấu hình và tệp nhật ký mặc định

Như đã thảo luận, theo mặc định, lệnh logcheck sử dụng /etc/logcheck/logcheck.logfiles/etc/logcheck/logcheck.conf các tệp để đọc các tệp nhật ký được theo dõi và cài đặt cấu hình riêng của nó, tương ứng. Nhưng bạn có thể thay đổi hành vi này và đặt lệnh đọc tệp ở bất kỳ vị trí nào khác bằng cách sử dụng -L-C.

Ví dụ, lệnh sau sẽ đọc mylogcheck.conf nằm trong thư mục chính của tôi:

Tương tự, lệnh sau sẽ đọc mylogcheck.logfiles hiện trong thư mục chính của tôi:

Ghi chú: bạn cũng có thể sử dụng -r dòng lệnh theo sau là tên thư mục để ghi đè thư mục quy tắc mặc định.

Giữ lại các phần bù của logfile bằng tùy chọn -t

Lệnh logcheck sử dụng một chương trình có tên là logtail ghi nhớ vị trí cuối cùng mà nó đọc từ trong tệp nhật ký. Nhưng nếu bạn muốn chạy lệnh trong chế độ thử nghiệm, tức là mà không cần cập nhật các phần bù của tệp nhật ký, bạn có thể sử dụng -t.

Lệnh sau sẽ báo cáo các mối quan tâm hoặc vi phạm về bảo mật nhưng sẽ không cập nhật các phần bù:

Để biết thêm thông tin về lệnh này, hãy xem trang người đàn ông.

Sự kết luận

Logcheck không chỉ đơn giản để sử dụng mà còn có thể tùy biến cực kỳ tốt. Tôi nói rằng nó là một công cụ phải có cho bất kỳ quản trị viên hệ thống nào chủ yếu vì khả năng của nó. Bạn đã bao giờ sử dụng logcheck chưa? Kinh nghiệm của bạn như thế nào? Chia sẻ suy nghĩ của bạn trong phần bình luận bên dưới.

Bài viết này có hữu ích không?

Previous articleCách tăng tốc máy in của bạn và làm cho quá trình in ấn hiệu quả hơn
Next articleCách tạo Blog đa ngôn ngữ bằng plugin Global Translator của WordPress

LEAVE A REPLY

Please enter your comment!
Please enter your name here