Apache Server、Bind9、およびDjangoを使用してUbuntu Serverを実行している個人Webサイト用に自宅で自分のサーバーを実行しています。定期的に追跡するのに最適なログは何ですか?(何かがうまくいかないときに読むことに基づいてではなく)。侵入の試み(以前にSSHエラーが発生したことがあります)と、サイトでの異常なトラフィックまたはエラーの検出を考えています。
Apache Server、Bind9、およびDjangoを使用してUbuntu Serverを実行している個人Webサイト用に自宅で自分のサーバーを実行しています。定期的に追跡するのに最適なログは何ですか?(何かがうまくいかないときに読むことに基づいてではなく)。侵入の試み(以前にSSHエラーが発生したことがあります)と、サイトでの異常なトラフィックまたはエラーの検出を考えています。
回答:
関心のあるログ:
logwatchパッケージを使用して、SMTPトラフィックとSSHログイン、および認証試行を監視します。デフォルトでUbuntuを含むほとんどのLinuxディストリビューションから利用できます。
aptitude install logwatch
過去に、私はlogsurfer +も使用しました。logsurfer+は複雑なソフトウェアですが、高度な設定が可能です。
これらのツール(logwatch、logsurfer +)のいずれもニーズを満たさない場合、さまざまなベンダーのログ管理ソリューションが多数あります。ソフトウェアパッケージから専用デバイスまで。追加の調査を行いたい場合は、ここから始めましょう。私はこれらの会社や製品のいずれとも提携していません。
OSSECを使用してログを監視することをお勧めします。重要なログファイルを自動検出し、デフォルトでそれらすべてをリアルタイムで監視します。
Ubuntuを使用している場合、すべての認証ログ、Apacheログ、apt-getログ(新しいアプリがインストールされたタイミングを確認するため)などを確認します。
オープンソースであり、活発な開発チームがあり、使いやすいです。ログウォッチのようにX時間ごとに行うのではなく、リアルタイムでログを調べるため、ログウォッチから移行しました。
リンク:http : //www.ossec.net
通常、上記のファイルを監視しますが、ほとんどはsyslogファイル(/ var / log / messages)を監視します。通常、syslog-ngを設定してフィルタリングを改善し、すべてを表示できるように* .debugとして記録するようにsyslogを設定します。これはすべて、logcheck.shにルートを持つシェルスクリプトによって読み取られ(申し訳ありませんが、リンクを失いました)、毎日興味深いアイテムを私にメールします。これにはノイズの量が増えているため、フィルターで除去するのは困難ですが、ノイズレベルをヘルスチェックとしても使用します。ノイズレベルが突然増減する場合は、何かが変更されています。
ログウォッチについて注意すべき点が1つあります。単語の発見と相関を実行するために、petitというツールを作成/使用しました。自然言語処理のいくつかの簡単な手法を使用して、ストップワードを削除します。これにより、ログ分析を担当する管理者/アナリストは、ログウォッチで望んでいるすべてのイベントを実際にキャッチしていると確信できるようになります。
これは、鶏/卵の基本的な問題であり、以前に見たことがあるまで、どのように検索する必要があるのかを知ることができます。petitの単語発見モードはこれに役立ちます。また、cliグラフとハッシュを提供します。