Важные логи

0

1

Скажите пожалуйста, какие с вашей точки зрения стоит смотреть логи, для того чтобы определить злоумышленника и последсвия его действий? и в каких файлы логов?

Естественно не берем тот факт, что он стер логи

Ссылка

←	dd, разная скорость затирания на одинаковых hdd

KVM, сеть, фиксированные IP-адреса.

→

все, какие есть

Harald ★★★★★
(03.12.17 19:40:20 MSK)

Ответ на: комментарий от Harald 03.12.17 19:40:20 MSK

нужно только самое важное ТОП3

logonsessons
(03.12.17 19:43:06 MSK) автор топика

Ответ на: комментарий от logonsessons 03.12.17 19:43:06 MSK

~/.bash_history

/var/log/auth.log

/var/log/syslog

Harald ★★★★★
(03.12.17 20:04:51 MSK)
Последнее исправление: Harald 03.12.17 20:05:02 MSK (всего исправлений: 1)

Ответ на: комментарий от Harald 03.12.17 20:04:51 MSK

ок, норм, а если баш хистори убрать, что еще можно?

logonsessons
(03.12.17 20:25:50 MSK) автор топика

Ответ на: комментарий от logonsessons 03.12.17 20:25:50 MSK

ок, норм, а если баш хистори убрать, что еще можно?

Журналы каких нибудь демонов. Например nginx.

~~PeKar~~
(03.12.17 20:29:44 MSK)

Ссылка

Установите LogWatch. Он избавит вас парсинга логов. Каждый день он будет присылать на почту подробный донос из всех логов.

Настраивать его не надо. Он и так знает по умолчанию- что где лежит.

~~Bootmen~~ ☆☆☆
(04.12.17 04:07:03 MSK)
Последнее исправление: Bootmen 04.12.17 04:08:15 MSK (всего исправлений: 1)

Ссылка

ты всё свой хакирский дистрибутив пилишь по выявления винды?
там, где может быть вред от злоумышленника нет никаких файлов логов. все логи в базе данных и всем плевать если ты что-то сотрёшь, это только пару лет на сгухе добавит.

system-root ★★★★★
(04.12.17 04:10:07 MSK)
Последнее исправление: system-root 04.12.17 04:11:29 MSK (всего исправлений: 1)