Eu corro meu próprio servidor em casa para o meu site pessoal executando o Ubuntu Server com Apache, Bind9 e Django. Quais logs você sugere que são melhores para acompanhar regularmente? (em vez de ler quando algo dá errado). Estou pensando em detectar tentativas de invasão (eu já experimentei erros SSH) e tráfego ou erros incomuns no meu site.
Respostas:
Logs de interesse:
Eu uso o pacote logwatch para monitorar o tráfego SMTP e logins SSH e tentativas de autenticação. Está disponível na maioria das distribuições Linux, incluindo o Ubuntu por padrão.
aptitude install logwatch
No passado, também usei o logsurfer +, que é um software complicado, mas altamente configurável.
Se nenhuma dessas ferramentas (logwatch, logsurfer +) atender às suas necessidades, existe um grande número de soluções de gerenciamento de logs de vários fornecedores. De pacotes de software a dispositivos dedicados. Aqui estão alguns para começar, se você quiser fazer pesquisas adicionais. Eu não sou afiliado a nenhuma dessas empresas ou produtos.
Sugiro usar o OSSEC para monitorar seus logs. Ele detecta automaticamente os arquivos de log importantes e monitora todos eles em tempo real por padrão.
Se você estiver usando o Ubuntu, ele examinará todos os logs de autenticação, logs do apache, logs do apt-get (para ver quando novos aplicativos são instalados) etc.
É de código aberto, possui uma equipe de desenvolvimento ativa e é simples de usar. Nós migramos para ele do logwatch, porque ele analisa os logs em tempo real, em vez de fazer isso a cada X horas, como faz o log watch.
Link: http://www.ossec.net
Geralmente, assisto os arquivos acima, mas principalmente os arquivos syslog (/ var / log / messages). Normalmente, configuro o syslog-ng para fornecer uma filtragem melhor e o syslog para registrar como * .debug, para que eu possa ver tudo. Tudo isso é lido por um script de shell que tem suas raízes no logcheck.sh (desculpe, perdi o link) e me envia itens interessantes diariamente. Isso tem uma quantidade aumentada de ruído que é difícil de filtrar, mas eu também uso o nível de ruído como uma verificação de saúde - se o nível de ruído aumentar ou diminuir repentinamente, algo mudou.
Eu tenho uma ressalva sobre o logwatch e é isso "o que" procurar. Escrevi / usei uma ferramenta chamada petit para realizar a descoberta e correlação de palavras. Ele usa algumas técnicas simples do Natural Language Processing para remover palavras irrelevantes. Isso ajuda um administrador / analista responsável pela análise de logs a se sentir mais confiante de que está realmente capturando todos os eventos que deseja com o logwatch.
É um problema básico de galinha / ovo de como sei o que preciso procurar até que eu o tenha visto antes. O modo de descoberta de palavras petit ajuda nisso. Também fornece gráficos e hash de cli.