Verwenden Sie Logcheck, um Probleme und Sicherheitsverletzungen in Systemprotokolldateien zu erkennen [Linux]

Es ist eine unbestreitbare Tatsache, dass Protokolle eine wichtige Rolle bei der Aufdeckung von Software- oder Systemproblemen sowie böswilligen Aktivitäten spielen. Bei so vielen Protokolldateien und so vielen Informationen in jeder einzelnen wird es für Systemadministratoren jedoch etwas schwierig, sie richtig zu analysieren.

Obwohl es viele Tools gibt, die Protokolle analysieren und aussagekräftige Informationen liefern können, empfehle ich Ihnen, wenn Sie nach einer guten Alternative zur Befehlszeile suchen, logcheck. In diesem Artikel besprechen wir die Grundlagen dieses Befehls und die Funktionen, die er bietet.

Einführung

Obwohl in der offiziellen Dokumentation von Logcheck steht, dass das Tool Systemprotokolle nach „interessanten Zeilen“ durchsucht, muss betont werden, dass es sich bei diesen „interessanten Zeilen“ tatsächlich um die Probleme und Sicherheitsverletzungen handelt, die das Tool erkennt.

Das Tool unterstützt grundsätzlich drei Filterebenen:

  • Server: Die Standardebene, die Regeln für viele verschiedene Daemons enthält.
  • Paranoid: Eine Ebene, die für Hochsicherheitsmaschinen geeignet ist, auf denen so wenige Dienste wie möglich laufen. Verwenden Sie sie nicht, wenn Sie mit den ausführlichen Meldungen nicht klarkommen.
  • Arbeitsplatz: Eine Ebene, die für geschützte Maschinen geeignet ist, da sie die meisten Nachrichten filtert.

Standardmäßig läuft logcheck als stündlicher Cronjob, jeweils zu jeder vollen Stunde und nach jedem Neustart, und sendet Ihnen die Ergebnisse per E-Mail.

Herunterladen und Installieren

Benutzer von Debian-basierten Systemen wie Ubuntu können logcheck einfach installieren, indem sie den folgenden Befehl ausführen:

[enlazatom_show_links]
sudo apt-get installiere logcheck

Dies ist die empfohlene Methode zur Installation des Befehlszeilentools, da dabei die Version installiert wird, die bereits im Repository Ihrer Linux-Distribution vorhanden ist. Alternativ können Sie das Dienstprogramm auch installieren, indem Sie es von der Projektwebsite.

Konfiguration

Bevor Sie den Befehl logcheck zum ersten Mal verwenden, sollten Sie einen Blick auf die Datei „logcheck.conf“ im Verzeichnis „/etc/logcheck“ werfen, da sie variable Einstellungen enthält, die Sie möglicherweise entsprechend Ihren Anforderungen ändern möchten.

Hier sind einige Schnappschüsse dieser Datei:

Wie Sie sehen, sind einige der Variablen mit ihren Standardwerten aktiv, während andere kommentiert sind. Sie können die Änderungen Ihren Anforderungen entsprechend vornehmen. Ich habe beispielsweise die Variablen DATE sowie ATTACKSUBJECT, SECURITYSUBJECT und EVENTSSUBJECT auskommentiert und den Wert der Variablen SENDMAILTO in meine E-Mail-Adresse geändert.

Neben „logcheck.conf“ gibt es im selben Verzeichnis auch eine Datei „logcheck.logfiles“, die eine Liste der Protokolldateien enthält, die vom Befehl logcheck überprüft werden.

Sie können dieser Datei weitere Protokolldateien hinzufügen, stellen Sie jedoch sicher, dass jeder Eintrag in einer separaten Zeile hinzugefügt wird.

Verwendung

Hier sind einige Beispiele, wie der Befehl logcheck verwendet werden kann:

Notiz: Alle in diesem Artikel vorgestellten Beispiele wurden auf Ubuntu 14.04 getestet.

Sofort E-Mail senden

Während logcheck standardmäßig regelmäßig E-Mails versendet, können Sie mit der Option -m das sofortige Versenden erzwingen. Als ich beispielsweise den folgenden Befehl ausführte:

Die folgende E-Mail wurde in meinem Posteingang empfangen:

Notiz:
1. Sie können die Option -h gefolgt von einem Hostnamen verwenden, um diesen Hostnamen im Betreff der E-Mail zu verwenden.

2. Sie können die Option -o verwenden, um den Bericht an stdout statt per E-Mail zu senden.

Überschreiben der Standardprotokoll- und Konfigurationsdateilisten

Wie bereits erläutert, verwendet der Befehl logcheck standardmäßig die Dateien „/etc/logcheck/logcheck.logfiles“ und „/etc/logcheck/logcheck.conf“, um die zu überwachenden Protokolldateien bzw. seine eigenen Konfigurationseinstellungen zu lesen. Sie können dieses Verhalten jedoch ändern und den Befehl Dateien an einem beliebigen anderen Speicherort lesen lassen, indem Sie die Optionen -L und -C verwenden.

Der folgende Befehl würde beispielsweise „mylogcheck.conf“ lauten, das sich in meinem Home-Verzeichnis befindet:

logcheck -C /home/himanshu/mylogcheck.conf

Entsprechend würde der folgende Befehl die Datei „mylogcheck.logfiles“ aus meinem Home-Verzeichnis lesen:

logcheck -L /home/himanshu/mylogcheck.logfiles

Notiz: Sie können auch die Befehlszeilenoption -r gefolgt von einem Verzeichnisnamen verwenden, um das Standardregelverzeichnis zu überschreiben.

Behalten Sie die Logdatei-Offsets mit der Option -t bei

Der Befehl logcheck verwendet ein Programm namens „logtail“, das sich die letzte Stelle in einer Protokolldatei merkt, von der es gelesen hat. Wenn Sie den Befehl jedoch im Testmodus ausführen möchten, d. h. ohne die Protokolldatei-Offsets zu aktualisieren, können Sie die Option -t verwenden.

Der folgende Befehl meldet Sicherheitsbedenken oder -verletzungen, aktualisiert die Offsets jedoch nicht:

Weitere Informationen zu diesem Befehl finden Sie in dessen manpage.

Abschluss

Logcheck ist nicht nur einfach zu verwenden, sondern auch äußerst anpassbar. Ich würde sagen, es ist vor allem wegen seiner Fähigkeiten ein unverzichtbares Tool für jeden Systemadministrator. Haben Sie schon einmal Logcheck verwendet? Wie war Ihre Erfahrung? Teilen Sie Ihre Gedanken in den Kommentaren unten.

Index
  1. Einführung
  2. Herunterladen und Installieren
  3. Konfiguration
  4. Verwendung
    1. Sofort E-Mail senden
    2. Überschreiben der Standardprotokoll- und Konfigurationsdateilisten
    3. Behalten Sie die Logdatei-Offsets mit der Option -t bei
  5. Abschluss

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Go up