Sistem yöneticileri olarak, izleme ve denetleme görevlerini çok daha kapsamlı bir şekilde gerçekleştirmemizi sağlayan en iyi araçlara ve uygulamalara her zaman sahip olmalıyız, yani hem dahili hem de dahili düzeyde gerçekleşen her eylem hakkında yalnızca yüzeysel değil eksiksiz veriler elde etmeliyiz. işletim sistemi içinde harici.
Bu bilgilere erişmenin en iyi yollarından biri, aşağıdakiler gibi birden çok verinin depolandığı günlükler veya olay kayıtlarıdır:
- Başarılı ve başarısız sistem başlatma, yeniden başlatma ve kapatma işlemleri
- Uygulamalara ve programlara erişim
- Güvenlik olayları
- Gelen ve giden bağlantı günlükleri ve çok daha fazlası.
Bu günlüklerin izlenmesine erişmek için en iyi seçeneklerden biri Swatchdog'dur ve bu nedenle Solvetic'te Linux'ta nasıl kurulacağını ve kullanılacağını açıklayacağız.
Swatchdog nedirSwatchdog, Linux gibi Unix benzeri sistemlerde aktif günlük dosyalarını izlemek için geliştirilmiş basit bir Perl tabanlı komut dosyasıdır.
Swatchdog, Linux'ta hemen hemen her tür logu izleyebilir ve bu loglar Unix syslog fonksiyonu tarafından üretilir ve programın konfigürasyon dosyasında tanımlayabileceğimiz normal ifadelere dayalı logları görmek mümkün olacaktır.
1. Swatchdog'u Linux'a nasıl kurarım
Bu durumda Ubuntu 18.04 kullanacağız, swatchdog paketi ana Linux dağıtımlarının her birinin resmi depolarından bir paket yöneticisi aracılığıyla bir "swatch" paketi olarak kurulum için mevcut, kurulumu için dağıtıma dayalı olarak aşağıdakileri uygulayabiliriz. Kullanılmış:
sudo apt kurulum örneği (Ubuntu / Debian) sudo yum kurulum epel sürümü && sudo yum kurulum örneği (RHEL / CentOS) sudo dnf kurulum örneği (Fedora 22)
BÜYÜT
Swatchdog'un indirilmesini ve kurulumunu onaylamak için S tuşuna basın.
Swatchdog'un en son sürümünü yüklemek istiyorsak, tüm Linux dağıtımlarında aşağıdaki komutlar kullanılarak kaynaktan derlenmelidir:
git klon https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realcleanBu komutlarla hazır olacak.
2. Linux'ta Swatchdog nasıl kurulur
Swatchdog yükleme işlemi tamamlandıktan sonra, yapılandırma dosyasını oluşturmak gerekli olacaktır, varsayılan konumu /home/$USER/.swatchdogrc veya .swatchrc'dir, bu, ne tür ifade kalıplarının kullanıldığını belirlemek için. Bir örüntü birleştirirken aranacak ve ne tür bir işlem yapılması gerektiği.
Aşama 1
Bu dosyayı oluşturmak için aşağıdaki seçeneklerden birini kullanacağız:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
BÜYÜT
NotSolvetic alanı ilgili kullanıcı tarafından değiştirilmelidir.
Şimdi bu dosyaya düzenli bir ifade ekleyeceğiz ve her satır bir anahtar kelime ve boşluk veya eşittir işareti (=) ile ayrılmış bir değer içermeli, olayda bir kalıp ve yapılacak bir işlem belirtmemiz gerekecek. bu bir Desen.
Dosyaya istenen düzenleyiciyi kullanarak erişiyoruz:
sudo nano swatchdogrcAdım 2
Buraya örnek olarak aşağıdakileri yapıştıracağız:
watchfor / sudo / echo red [email protected], konu = "Sudo Eylemi"
BÜYÜT
Anahtarları kullanarak değişiklikleri kaydederiz:
Ctrl + O
ve düzenleyiciyi şunu kullanarak bırakırız:
Ctrl + X
Aşama 3
Bu örnekte, normal ifade, "sudo" adlı değişmez bir dizedir; bu, günlük dosyasında sudo dizesi her çalıştırıldığında, terminale kırmızı metin yazdıracağı ve eylemin postaya belirtileceği anlamına gelir. yürütüldü, böylece gerçekleştirilen eylemler hakkında sürekli bilgi sahibi olacağız.
Yapılandırmasından sonra, swatchdog varsayılan olarak / var / log / syslog günlük dosyasını okur ve bu dosya yoksa / var / log / mesajları okur.
Kayıtları okumak için aşağıdakileri uygularız:
swatch (RHEL / CentOS ve Fedora) swatchdog (Ubuntu / Debian)
BÜYÜT
4. Adım
-c parametresini kullanarak farklı bir konfigürasyon dosyası belirtmek de mümkün olacaktır, bunun için önce aşağıdaki gibi bir dosya oluşturacağız:
mkdir renk örneği dokunmatik renk örneği / safe.confAdım 5
Oluşturulduktan sonra, / var / log / log dosyası güvenli'de başarısız oturum açma girişimlerini, başarısız SSH oturum açma girişimlerini, başarılı SSH oturumlarını izlemek için dosyaya aşağıdaki yapılandırmayı ekleyeceğiz.
watchfor / FAILED / echo red [email protected], konu = "Erişim girişimi başarısız" watchfor / ROOT LOGIN / echo red mail = [email protected], konu = "Kök erişimi başarılı" watchfor /ssh.*: Başarısız şifre / eko kırmızı posta = [email protected], konu = "Başarısız SSH bağlantı girişimi" watchfor /ssh.*: kullanıcı için oturum açıldı root / yankı kırmızı posta = [email protected], konu = "SSH Kök erişim Hakkı"
BÜYÜT
6. Adım
Ctrl + O tuşlarını kullanarak değişiklikleri kaydediyoruz ve Ctrl + X tuşlarını kullanarak editörden çıkıyoruz.
Şimdi -c dosyası kullanılarak oluşturulan yapılandırma dosyasını ve -t bayrağını kullanarak günlüğü belirterek Swatch'ı çalıştıracağız:
swatchdog -c ~ / renk örneği / güvenli.conf -t / var / log / güvenli7. Adım
Bu şekilde, girişler kaydedildikçe Swatchdog sonuçlarında görüntülenecektir.
Ek olarak, izleme için aşağıdakiler gibi başka dosyalar da oluşturabiliriz:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / message_watch_config -t / var / log / mesajlar --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemonBazı ek kullanım seçenekleri şunlardır:
--awk-alan-sözdizimiBu seçenek yalnızca, awk tarzı alan referansı lehine normal ifade arka ucunu geçersiz kılmak istiyorsanız kullanılabilir.
-config dosyası | -c dosya adıSwatchdog'a yapılandırma dosyasını nerede bulacağını söyler
--daemonSwatchdog'a arka planda çalışmasını ve herhangi bir terminalden ilişkisini kesmesini söyler
-ekstra modül | -M modül_adıSwatchdog'a hangi özel eylem modüllerinin yükleneceğini söyleyin.
Böylece, bu yardımcı program sayesinde Linux'ta olayların daha hassas bir şekilde kontrol edilmesi mümkün olacaktır.
