对于拥有大量账户、系统繁忙的Linux系统而言,其日志文件是极其庞大的,很多没有用的信息会将值得注意的信息淹没,给用户分析日志带来了很大的不便。现在有一些专门用于分析日志的工具,如Logcheck和Friends。
Logcheck用来分析庞大的日志文件,过滤出有潜在安全风险或其他不正常情况的日志项目,然后以电子邮件的形式通知指定的用户。它是由Psionic开发的,可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下载。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。
该程序的安装相当方便。解压后运行make文件,按照它的提示选择操作系统的类型以后就能编译完成了。配置文件和运行脚本默认安装在/usr/local/etc/下。
logcheck.sh
这是Logcheck的shell脚本,用于分析本次的日志文件并汇报结果。
logcheck.hacking
这个文件设置在日志文件中过滤的关键字,该关键字提示了潜在安全风险的信息。用户可以定制自己的日志文件,在logcheck.hacking文件中增加或删除关键字。
logcheck.violations
这个文件设置在日志文件分析过滤系统运行时出现异常情况的关键字。
logcheck.violations.ignore
如果系统出现异常情况,但含有此文件中的关键字,则视为正常,不写入Logcheck的分析报告文件中。
logcheck.ignore
如果系统日志文件记录了可能遭遇攻击的消息,但含有logcheck.ignore文件中的关键字,则Logcheck视为正常,在分析报告文件中不包含这些消息。
安装完Logcheck后,还要修改logcheck.sh文件中的参数以符合用户的要求。有两点值得注意。下列命令:
| # Person to send log activity to. SYSADMIN=root |
Logcheck默认将报告发给root。如果要发给指定的电子邮箱,改动这里就可以了。如果希望将报告发给多个用户,可以定义mail的别名。要检查的日志文件的设置:
| # Linux $LOGTAIL /var/log/syslog > $TMPDIR/check.$$ $LOGTAIL /var/log/messages >> $TMPDIR/check.$$ 用户可以根据需要加上要检查的日志文件,例如: |
最后用cron安排服务器自动定时重复执行logcheck.sh脚本文件。
本U R L:http://www.qqread.com/linux/2007/11/y381829.html
更多内容请看系统优化大全、系统安全设置、系统安装手册专题,或进入讨论组讨论。
相关专题
- 系统优化大全 (18186篇文章)
- 系统安全设置 (23646篇文章)
- 系统安装手册 (20918篇文章)
- 系统备份专题 (17615篇文章)
- Linux集群技术 (8416篇文章)
- 体验Linux的音影世界 (8088篇文章)
- Linux驱动大全 (8891篇文章)
- Linux下的路由的配置与应用 (11888篇文章)
- Linux命令简介 (9952篇文章)
- 系统维护手册 (17005篇文章)
- 安装qmail全套功略 (18次浏览)
- TurboLinux 入门教程:第七课 TurboLinux简介 (18次浏览)
- Linux系统管理员秘技:用快捷命令一招制胜 (18次浏览)
- Linux系统命令分类详解 (1) (18次浏览)
- Linux下使用aMsn详解 (18次浏览)
- 你会在Linux下用POP3收Web电子邮箱吗? (18次浏览)
- 在Linux中用三款工具轻松制作网页 (18次浏览)
- Linux上的偷窺裝置 (1394的使用) (18次浏览)
- 深入浅出分析Linux内核漏洞的问题 (18次浏览)
- Linux内核调试工具:Kdb应用指南(4) (18次浏览)
