Som systemadministratorer må vi alltid ha de beste verktøyene og applikasjonene som gjør at vi kan utføre overvåkings- og overvåkingsoppgaver på en mye mer omfattende måte, det vil si at vi ikke bare får overfladiske, men fullstendige data om hver handling som skjer både på internnivå og eksternt i operativsystemet.
En av de beste måtene å få tilgang til denne informasjonen er gjennom logger eller hendelsesposter der flere data er lagret, for eksempel:
- Systemoppstart, omstart og nedleggelser både vellykkede og mislykkede
- Tilgang til programmer og programmer
- Sikkerhetshendelser
- Inngående og utgående tilkoblingslogger og mye mer.
Et av de beste alternativene for å få tilgang til overvåking av disse loggene er Swatchdog, og derfor vil vi i Solvetic forklare hvordan du installerer og bruker det i Linux.
Hva er SwatchdogSwatchdog er et enkelt Perl-basert skript som er utviklet for å overvåke aktive loggfiler på Unix-lignende systemer som Linux.
Swatchdog er i stand til å overvåke nesten alle typer logger på Linux, og disse loggene er produsert av Unix syslog -funksjonen, og det vil være mulig å se logger basert på vanlige uttrykk som vi kan definere i verktøyets konfigurasjonsfil.
1. Slik installerer du Swatchdog på Linux
I dette tilfellet vil vi bruke Ubuntu 18.04, swatchdog -pakken er tilgjengelig for installasjon fra de offisielle lagrene til hver av de viktigste Linux -distribusjonene som en "swatch" -pakke gjennom en pakkebehandler, for installasjonen kan vi utføre følgende basert på distribusjonen brukt:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
FORSTØRRE
Trykk på S -tasten for å bekrefte nedlasting og installasjon av Swatchdog.
Hvis vi vil installere den nyeste versjonen av Swatchdog, må den kompileres fra kilde ved å bruke følgende kommandoer på alle Linux -distribusjoner:
git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog/perl Makefile.PL lag sudo make install sudo make realcleanMed disse kommandoene vil du ha det klart.
2. Slik konfigurerer du Swatchdog på Linux
Når Swatchdog -installasjonsprosessen er fullført, vil det være nødvendig å opprette konfigurasjonsfilen, standardplasseringen er /home/$USER/.swatchdogrc eller .swatchrc, dette for å bestemme hvilke typer uttrykksmønstre som brukes. De er skal lete etter og hva slags handling som bør utføres når du kombinerer et mønster.
Trinn 1
For å lage denne filen bruker vi ett av følgende alternativer:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
FORSTØRRE
MerkDet solvetiske feltet må erstattes av den respektive brukeren.
Nå skal vi legge til et vanlig uttrykk i denne filen, og hver linje må inneholde et søkeord og en verdi atskilt med et mellomrom eller et likhetstegn (=), det vil være nødvendig å spesifisere et mønster og en handling som skal utføres i hendelsen at et mønster.
Vi får tilgang til filen ved hjelp av ønsket editor:
sudo nano swatchdogrcSteg 2
Der vil vi som eksempel lime inn følgende:
watchfor / sudo / echo red [email protected], subject = "Sudo Action"
FORSTØRRE
Vi lagrer endringene med tastene:
Ctrl + O.
og vi forlater redaktøren ved hjelp av:
Ctrl + X
Trinn 3
I dette eksemplet er det regulære uttrykket en bokstavelig streng som kalles "sudo", noe som betyr at hver gang sudostrengen kjøres i loggfilen, vil den skrive ut rød tekst til terminalen og handlingen vil bli spesifisert til e -posten. blitt utført, så vi vil ha konstant informasjon om handlingene som er utført.
Etter konfigurasjonen leser swatchdog loggfilen / var / log / syslog som standard, og hvis denne filen ikke er tilstede, vil den lese / var / log / messages.
Vi utfører følgende for å lese registrene:
swatch (RHEL / CentOS og Fedora) swatchdog (Ubuntu / Debian)
FORSTØRRE
Trinn 4
Det vil også være mulig å angi en annen konfigurasjonsfil ved hjelp av parameteren -c, for dette vil vi først opprette en fil som følger:
mkdir swatch touch swatch / secure.confTrinn 5
Når den er opprettet, skal vi legge til følgende konfigurasjon i filen for å overvåke mislykkede påloggingsforsøk, mislykkede SSH -påloggingsforsøk, vellykkede SSH -pålogginger i / var / log / log -filen sikker.
watchfor / FAILED / echo red [email protected], subject = "Tilgangsforsøk mislyktes" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Root access successful" watchfor /ssh.*: Mislyktes passord / echo red mail = [email protected], subject = "Mislykket SSH -tilkoblingsforsøk" watchfor /ssh.*: økt åpnet for brukerrot / echo red mail = [email protected], subject = "SSH Root access Right"
FORSTØRRE
Trinn 6
Vi lagrer endringene ved hjelp av Ctrl + O -tastene og avslutter editoren med Ctrl + X.
Nå skal vi kjøre Swatch som spesifiserer konfigurasjonsfilen som er opprettet ved hjelp av -c -filen og loggen ved å bruke -t -flagget slik:
swatchdog -c ~ / swatch / secure.conf -t / var / log / secureTrinn 7
På denne måten, etter hvert som oppføringer registreres, vil de bli vist i Swatchdog -resultatene.
I tillegg kan vi lage andre filer for overvåking, for eksempel:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / logg /auth.log -demonNoen andre bruksalternativer er:
--awk-field-syntaxDette alternativet kan bare brukes hvis du vil overstyre regex-backend til fordel for awk-stilfeltreferansen
-config -file | -c filnavnForteller swatchdog hvor du finner konfigurasjonsfilen
-demonForteller swatchdog å kjøre i bakgrunnen og koble fra hvilken som helst terminal
-ekstra modul | -M modulnavnFortell swatchdog hvilke tilpassede handlingsmoduler som skal lastes inn.
Dermed vil det være mulig å holde en mer presis kontroll over hendelser i Linux takket være dette verktøyet.
