Som systemadministratorer skal vi altid have de bedste værktøjer og applikationer, der giver os mulighed for at udføre overvågnings- og overvågningsopgaver på en meget mere omfattende måde, det vil sige ikke kun at få overfladiske, men komplette data om hver handling, der sker både på det interne og interne niveau eksternt i operativsystemet.
En af de bedste måder at få adgang til disse oplysninger på er gennem logfiler eller hændelsesposter, hvor flere data er gemt, f.eks .:
- Systemstart, genstart og nedlukning både vellykket og uden succes
- Adgang til programmer og programmer
- Sikkerhedsbegivenheder
- Indgående og udgående forbindelseslogfiler og meget mere.
En af de bedste muligheder for at få adgang til overvågning af disse logfiler er Swatchdog, og derfor vil vi i Solvetic forklare, hvordan du installerer og bruger det i Linux.
Hvad er SwatchdogSwatchdog er et enkelt Perl-baseret script, der er udviklet til at overvåge aktive logfiler på Unix-lignende systemer som Linux.
Swatchdog er i stand til at overvåge næsten enhver form for logfiler på Linux, og disse logfiler er produceret af Unix syslog -funktionen, og det vil være muligt at se logfiler baseret på regulære udtryk, som vi kan definere i værktøjets konfigurationsfil.
1. Sådan installeres Swatchdog på Linux
I dette tilfælde vil vi bruge Ubuntu 18.04, swatchdog -pakken er tilgængelig til installation fra de officielle lagre i hver af de vigtigste Linux -distributioner som en "swatch" -pakke gennem en pakkehåndterer, for installationen kan vi udføre følgende baseret på distributionen Brugt:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
FORSTØRRE
Tryk på S -tasten for at bekræfte download og installation af Swatchdog.
Hvis vi vil installere den nyeste version af Swatchdog, skal den kompileres fra kilden ved hjælp af følgende kommandoer på alle Linux -distributioner:
git klon https://github.com/ToddAtkins/swatchdog.git cd swatchdog/perl Makefile.PL lav sudo make install sudo make realcleanMed disse kommandoer har du det klar.
2. Sådan opsættes Swatchdog på Linux
Når Swatchdog -installationsprocessen er afsluttet, vil det være nødvendigt at oprette konfigurationsfilen, standardplaceringen er /home/$USER/.swatchdogrc eller .swatchrc, dette for at afgøre, hvilke typer udtryksmønstre der bruges. De er vil lede efter, og hvilken slags handling der skal udføres, når man kombinerer et mønster.
Trin 1
For at oprette denne fil vil vi bruge en af følgende muligheder:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
FORSTØRRE
BemærkDet solvetiske felt skal udskiftes af den respektive bruger.
Nu skal vi tilføje et regulært udtryk i denne fil, og hver linje skal indeholde et søgeord og en værdi adskilt af et mellemrum eller et lighedstegn (=), det vil være nødvendigt at angive et mønster og en handling, der skal udføres i tilfælde af at et mønster.
Vi får adgang til filen ved hjælp af den ønskede editor:
sudo nano swatchdogrcTrin 2
Der vil vi som eksempel indsætte følgende:
watchfor / sudo / echo red [email protected], subject = "Sudo Action"
FORSTØRRE
Vi gemmer ændringerne ved hjælp af tasterne:
Ctrl + O.
og vi forlader redaktøren ved hjælp af:
Ctrl + X
Trin 3
I dette eksempel er det regulære udtryk en bogstavelig streng kaldet "sudo", hvilket betyder, at hver gang sudostrengen udføres i logfilen, vil den udskrive rød tekst til terminalen, og handlingen vil blive specificeret til mailen. Har blevet udført, så vi vil have konstant information om de udførte handlinger.
Efter konfigurationen læser swatchdog logfilen / var / log / syslog som standard, og hvis denne fil ikke er til stede, læser den / var / log / messages.
Vi udfører følgende for at læse registre:
farveprøve (RHEL / CentOS og Fedora) farveprøve (Ubuntu / Debian)
FORSTØRRE
Trin 4
Det vil også være muligt at angive en anden konfigurationsfil ved hjælp af parameteren -c, til dette vil vi først oprette en fil som følger:
mkdir farveprøve touch farveprøve / secure.confTrin 5
Når vi er oprettet, vil vi tilføje følgende konfiguration til filen for at overvåge mislykkede loginforsøg, mislykkede SSH -loginforsøg, vellykkede SSH -logins i / var / log / log -filen sikker.
watchfor / FAILED / echo red [email protected], subject = "Adgangsforsøg mislykkedes" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Root access failed" watchfor /ssh.*: mislykkedes password / echo red mail = [email protected], subject = "mislykket SSH -forbindelsesforsøg" watchfor /ssh.*: session åbnet for bruger root / echo red mail = [email protected], subject = "SSH rodadgang til højre"
FORSTØRRE
Trin 6
Vi gemmer ændringerne ved hjælp af Ctrl + O -tasterne og afslutter editoren med Ctrl + X.
Nu skal vi køre Swatch med angivelse af konfigurationsfilen, der er oprettet ved hjælp af -c -filen og logfilen ved hjælp af -t -flag som denne:
swatchdog -c ~ / swatch / secure.conf -t / var / log / secureTrin 7
På denne måde, når poster registreres, vil de blive vist i Swatchdog -resultaterne.
Derudover kan vi oprette andre filer til overvågning, såsom:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log -dæmonNogle yderligere brugsmuligheder er:
--awk-field-syntaxDenne indstilling kan kun bruges, hvis du vil tilsidesætte regex-backend til fordel for awk-stilfeltreferencen
-config -file | -c filnavnFortæller swatchdog, hvor man finder konfigurationsfilen
-dæmonFortæller swatchdog om at køre i baggrunden og adskille sig fra enhver terminal
-ekstra -modul | -M modulnavnFortæl swatchdog, hvilke tilpassede handlingsmoduler der skal indlæses.
Således vil det være muligt at holde en mere præcis kontrol af begivenheder i Linux takket være dette værktøj.
