Som systemadministratörer måste vi alltid ha de bästa verktygen och applikationerna som gör att vi kan utföra övervaknings- och övervakningsuppgif.webpter på ett mycket mer omfattande sätt, det vill säga inte bara få ytliga utan fullständiga data om varje åtgärd som sker både på intern nivå och extern i operativsystemet.
Ett av de bästa sätten att komma åt denna information är genom loggar eller händelseposter där flera data lagras, till exempel:
- Systemstart, omstart och avstängningar, både framgångsrika och misslyckade
- Tillgång till applikationer och program
- Säkerhetshändelser
- Loggar för inkommande och utgående anslutning och mycket mer.
Ett av de bästa alternativen för att komma åt övervakningen av dessa loggar är Swatchdog och därför kommer vi i Solvetic att förklara hur man installerar och använder det i Linux.
Vad är SwatchdogSwatchdog är ett enkelt Perl-baserat skript som har utvecklats för att övervaka aktiva loggfiler på Unix-liknande system som Linux.
Swatchdog kan övervaka nästan alla typer av loggar på Linux och dessa loggar produceras av Unix syslog -funktionen och det kommer att vara möjligt att se loggar baserade på reguljära uttryck som vi kan definiera i verktygets konfigurationsfil.
1. Så här installerar du Swatchdog på Linux
I det här fallet kommer vi att använda Ubuntu 18.04, swatchdog -paketet är tillgängligt för installation från de officiella lagren för var och en av de viktigaste Linux -distributionerna som ett "swatch" -paket via en pakethanterare, för installationen kan vi utföra följande baserat på distributionen Begagnade:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
FÖRSTORA
Tryck på S -knappen för att bekräfta nedladdningen och installationen av Swatchdog.
Om vi vill installera den senaste versionen av Swatchdog måste den kompileras från källan med följande kommandon på alla Linux -distributioner:
git -klon https://github.com/ToddAtkins/swatchdog.git cd swatchdog/perl Makefile.PL gör sudo gör installera sudo gör realcleanMed dessa kommandon kommer du att ha det klart.
2. Så här konfigurerar du Swatchdog på Linux
När Swatchdog -installationsprocessen har slutförts kommer det att vara nödvändigt att skapa konfigurationsfilen, dess standardplats är /home/$USER/.swatchdogrc eller .swatchrc, detta för att avgöra vilka typer av uttrycksmönster som används. De är ska leta efter och vilken typ av åtgärd som ska utföras när man kombinerar ett mönster.
Steg 1
För att skapa den här filen använder vi ett av följande alternativ:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
FÖRSTORA
NoteraSolvetic -fältet måste ersättas av respektive användare.
Nu ska vi lägga till ett reguljärt uttryck i den här filen och varje rad måste innehålla ett nyckelord och ett värde åtskilt av ett mellanslag eller ett likhetstecken (=), det kommer att vara nödvändigt att ange ett mönster och en åtgärd som ska vidtas i händelsen att ett mönster.
Vi kommer åt filen med önskad redigerare:
sudo nano swatchdogrcSteg 2
Där klistrar vi till exempel följande:
watchfor / sudo / echo red [email protected], subject = "Sudo Action"
FÖRSTORA
Vi sparar ändringarna med knapparna:
Ctrl + O
och vi lämnar redaktören med:
Ctrl + X
Steg 3
I det här exemplet är det reguljära uttrycket en bokstavlig sträng som heter "sudo", vilket innebär att varje gång sudosträngen körs i loggfilen kommer den att skriva ut röd text till terminalen och åtgärden kommer att specificeras för posten. Har har utförts, så vi kommer att ha konstant information om de åtgärder som utförts.
Efter konfigurationen läser swatchdog loggfilen / var / log / syslog som standard, och om filen inte finns läser den / var / log / meddelanden.
Vi utför följande för att läsa registren:
swatch (RHEL / CentOS och Fedora) swatchdog (Ubuntu / Debian)
FÖRSTORA
Steg 4
Det kommer också att vara möjligt att ange en annan konfigurationsfil med parametern -c, för detta skapar vi först en fil enligt följande:
mkdir swatch touch swatch / secure.confSteg 5
När vi väl skapat kommer vi att lägga till följande konfiguration i filen för att övervaka misslyckade inloggningsförsök, misslyckade SSH -inloggningsförsök, framgångsrika SSH -inloggningar i / var / log / log -filen säker.
watchfor / FAILED / echo red [email protected], subject = "Tillträdesförsök misslyckades" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Root access successful" watchfor /ssh.*: Misslyckades lösenord / echo red mail = [email protected], subject = "Misslyckat SSH -anslutningsförsök" watchfor /ssh.*: session öppnad för användare root / echo red mail = [email protected], subject = "SSH Root access Right"
FÖRSTORA
Steg 6
Vi sparar ändringarna med Ctrl + O -tangenterna och lämnar redigeraren med Ctrl + X.
Nu ska vi köra Swatch som anger konfigurationsfilen som skapats med hjälp av -c -filen och loggen med -t -flaggan så här:
swatchdog -c ~ / swatch / secure.conf -t / var / log / secureSteg 7
På detta sätt, när poster registreras, kommer de att visas i Swatchdog -resultaten.
Dessutom kan vi skapa andra filer för övervakning, till exempel:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / meddelanden --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log -demonNågra ytterligare användningsalternativ är:
--awk-field-syntaxDet här alternativet kan endast användas om du vill åsidosätta regex-backend till förmån för awk-stilfältreferensen
-config -file | -c filnamnBerättar för swatchdog var man hittar konfigurationsfilen
--demonBerättar att swatchdog ska springa i bakgrunden och koppla från vilken terminal som helst
-extra -module | -M module_nameBerätta för swatchdog vilka anpassade åtgärdsmoduler som ska laddas.
Således kommer det att vara möjligt att hålla en mer exakt kontroll över händelser i Linux tack vare det här verktyget.
