Logcheck 工具——监控 Kali Linux 系统日志活动
Logcheck是一个用于检查系统日志文件是否存在安全违规和异常活动的包或工具,它利用名为logtail的程序记住从日志文件中读取的最后位置。从系统日志中分析安全性或异常活动,以监控 Apache 日志文件中是否存在由PHP脚本引起的错误。 Logcheck用于自动检测日志文件中的问题,并通过电子邮件发送结果。它在每小时和每次重新启动后作为 cronjob 运行
该工具具有三种过滤模式:
- 服务器:包含不同守护进程的默认级别
- 偏执狂:高安全性机器在此级别作为服务运行,而且很冗长。
- 工作站:防护机器的级别,过滤消息。
日志检查安装:
Ubuntu/Debian 发行版中已经安装了 logcheck 包/存储库,只需在 Linux 中使用 apt-get 命令安装 Logcheck,它就会自动启动下载过程和依赖项。
$ apt-get install logcheck
另一种安装方法是下载logcheck-1.1.12.tar.gz版本,然后使用tar xvf命令安装 logcheck 工具。
tar xvf logcheck-1.1.12.tar.gz
cd logcheck-1.1.12
make
make install
在 sudo 或 us 的帮助下,我们可以直接从终端使用 logcheck 而无需安装,通过它我们可以更改用户 ID 并检查日志文件而不会更新偏移量。
这里使用的参数描述如下,
- -u –系统日志摘要启用
- -o – STDOUT 模式,不发送邮件
- -t -测试模式不更新偏移量
$ sudo -u logcheck logcheck -o -t
配置:
现在让我们看看位于/etc/logcheck 目录下的 logcheck 的配置文件logcheck.conf并在该文件中进行必要的更改。
$ vim /etc/logcheck/logcheck.conf
更改您选择的级别的REPORTLEVEL值以控制日志过滤级别,然后将值SENDMAILTO更改为您的电子邮件地址,这样您就可以在电子邮件 ID 上接收报告和日志,如下所示。
每当logcheck生成的邮件针对不同的事件具有不同的主题行时,也可以修改这些主题行以控制主题。
借助存储在/etc/logcheck/logcheck.logfiles中的日志文件来维护必须监视的日志文件列表。为了定义列表以使用另一个文件并在存储在另一个位置的情况下,因此要定义新的PATH修改RULEDIR变量。
通过导航到/etc/logcheck/logcheck.logfiles或/etc/logcheck/logcheck.files目录来查看配置文件,以根据您提供的报告级别配置邮件,这些文件包含要监视的日志文件列表。
# vim logcheck.logfiles
Logcheck 使用文件/etc/logcheck/ignore.d.server 工作,它会检查与忽略文件中的规则不匹配的行,然后将这些不规则之处包括在报告中,然后通过电子邮件发送给用户,它还报告日志文件中的异常活动、硬盘错误、失败的身份验证尝试和内核问题。
用法:
我们知道 logcheck 仅在发现任何可疑活动时发送邮件,但我们也可以通过执行以下命令立即或每小时获取报告,
$ logcheck -m
包括立即发送邮件的其他参数,
- -h -使用这个我们可以提到主机名以在邮件主题中使用它
- -o –此选项用于向标准输出发送报告
如果使用系统用户,它应该具有有效的日志检查别名,并且必须安装发件人/邮件程序(邮件、发送邮件、sSMTP、Postfix),
$ vim /etc/aliases
我们知道/etc/logcheck/logcheck.logfiles用于配置、读取和监控文件。也可以更改此行为并读取存储在默认位置以外的任何不同位置的文件。为此,请执行以下命令,
$ logcheck -c /etc/logcheck/logcheck.conf
$ logcheck -L /etc/logcheck/logcheck.conf
$ logcheck -t
在上面的命令中, Logtail是一个实用命令,它记录了工具从日志文件中读取的位置。为了在测试模式下运行该工具,可以使用-t命令来完成,并且偏移量不会更新。
logcheck-test将快速轻松地测试 logcheck 规则。它将解析日志文件以通过单个规则或规则文件匹配日志。针对/var/log/syslog的测试单一规则
$ logcheck-test -s "RULE"