LINUX.ORG.RU
ФорумSecurity

Логи


0

0

Чем смотреть логи не подскажете? Вообще тема NIDS/HIDS актуальна? или вручную?(не, не представляю..)

Собственно порывшись вышел на snort и ossec. В общем чем пользуетесь и рекомендуете? ОТпишитесь если не лень.....


Ответ на: комментарий от megabaks

Это понятно, о grep -i и т.п. в курсе.

А есть что-нибудь ОБЩЕПРИНЯТОЕ из инструментов системного администратова, что следит за файлами в /var/log

и, если появляются записи типа ERRROR, ErRoR, WARN, Warning, fail, failure и т.п., то как-то сигнализирует об этом руту или особому пользователю?

anonymous
()
Ответ на: комментарий от anonymous

можно что-то вроде logcheck поставить. будет слать по почте аномалии в логах. тогда самому их смотреть не обязательно.

moot ★★★★
()
Ответ на: комментарий от anonymous

хз - должно быть - не задавался вопросом
хотя можно накостылять скрипт и спамить логами мыло, запуская через крон
или демон который через inotify следит за логами - если обновились, грепает на предмет косяков и в случае удачи спамит мыло
навелосипедить можно кучу всего )

megabaks ★★★★
()

мм,если надо простенько , но риалтайм смотреть то
watch -n2 'dmesg|tail 10'
...в отдельной вкладке терминала или screen'a
У меня это дело забито на заставку скрина, как кто-то тут посоветовал.

darkshvein ☆☆
()
Ответ на: комментарий от anonymous

> если появляются записи типа ERRROR, ErRoR, WARN, Warning, fail, failure и т.п., то как-то сигнализирует об этом руту или особому пользователю

zabbix?

tx
()
Ответ на: комментарий от megabaks

>cat /path/to/log less /path/to/log dmesg ???

хз - должно быть - не задавался вопросом

хотя можно накостылять скрипт и спамить логами мыло, запуская через крон или демон который через inotify следит за логами - если обновились, грепает на предмет косяков и в случае удачи спамит мыло навелосипедить можно кучу всего )

В общем удивился я..... Практически все сказанное здесь я отношу к категории «вручную».

Возможно я не совсем определенно выразился - А зачем мы смотрим логи? 1. И главнейшее) — чтобы отследить попытки проникновений и т.п. - нестандартное поведение наших гостей/пользователей/клиентов и т.д.

2. Сбои (программные аппаратные - неважно) — но это при настроенном ПО и проверенном железе маловероятно без пункта 1...

Используете ли вы автоматические средства слежения за 1ым пунктом....? Предотвращения попыток...?

SNORT или OSSEC никто не использует?

AAA
() автор топика
Ответ на: комментарий от anton_jugatsu

ачто там поподробнее то. Файл
less .screenrc
#blankerprg cmatrix -ab -u2
blankerprg watch -n1 'dmesg|tail -n20'
idle 60 blanker
В качестве заставки для 'screen' включается лог ядра, как мы видим.

darkshvein ☆☆
()
Ответ на: комментарий от anonymous

Настрой нормально систему логгирования. Например металог умеет нечто в этом духе

vasily_pupkin ★★★★★
()
Ответ на: комментарий от anonymous

> и, если появляются записи типа ERRROR, ErRoR, WARN, Warning, fail, failure и т.п.,

то как-то сигнализирует об этом руту или особому пользователю?


http://www.bb4.com/ - за деньги
http://www.bigsister.ch/ - GPL

AS ★★★★★
()
Ответ на: комментарий от AAA

>чтобы отследить попытки проникновений и т.п. - нестандартное поведение наших гостей/пользователей/клиентов и т.д.

Лично я, в основном, смотрю логи почтового сервера, чтобы ответить на вопросы типа, «а было ли письмо? а ушло или нет?». Для защиты от всяких сканов есть fail2ban, зачем беспокоить админа, что кто-то пытался зайти на сервер по ssh.

Если «дырка» будет в sshd или в сетевом стеке ядра или ещё где, то при правильном её использовании логи будут пустыми.

Аппаратные сбои, обычно, дают kernel panik и сервер перестаёт работать или както ещё достаточно заметно проявляю себя. И если нужно следить за работоспособностью сервера, то нужно переодически её проверять с другого сервера. То есть вместо слежения за логами нужна другая служба, допустим nagios.

mky ★★★★★
()
24 сентября 2010 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security