Образовательный проект «SnakeProject» Михаила Козлова

⇒ FreeBSD and Nix ⇐

CISCO

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

Настроить logcheck

Настроить logcheck

Logcheck помогает обнаруживать проблемы и нарушения безопасности в лог-файлах и отправляет результаты по электронной почте

Установка для debian, centos, freebsd:
apt-get install logcheck
yum install logcheck.noarch
cd /data/ports/security/logcheck && make install clean

Получатели электронной почты должны быть настроены в /etc/aliases

Конфигурационный файл /etc/logcheck/logcheck.conf:
INTRO=1
REPORTLEVEL="server"
SENDMAILTO="logcheck"
ADDTAG="yes"

Используются некоторые другие правила из следующих каталогов:
/etc/logcheck/*
cracking.d
cracking.ignore.d
ignore.d
ignore.d.paranoid
ignore.d.server
ignore.d.workstation
violations.d
violations.ignore.d

Определите ваши правила игнорирования

Когда вы используете уровень отчетов server, поместите файл локальных правил в /etc/logcheck/ignore.d.server/local-rules

Пара примеров:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Disconnected from (user [^[:space:]]+ )?[[:xdigit:]:.]+ port [[:digit:]]+?( \[preauth\])?$ ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: user cronuser login class \[preauth\]$

И проверьте:
egrep -f /etc/logcheck/ignore.d.server/local-rules /var/log/syslog

Это покажет только сообщения, которые будут подавлены и НЕ будут отправлены вам по почте

Запустить запуск logcheck вручную:
su -s /bin/bash -c "/usr/sbin/logcheck" logcheck

Крон логчека:
crontab -e -u logcheck

Комментарии пользователей