Linux系统下常用日志分析工具:Logcheck简介
下載安裝過程就省略了。
配置文件和运行脚本默认安装在/usr/local/etc/下。
logcheck.sh 这是Logcheck的shell脚本,用于分析本次的日志文件并汇报结果。
logcheck.hacking 这个文件设置在日志文件中过滤的关键字,该关键字提示了潜在安全风险的信息。用户可以定制自己的日志文件,在logcheck.hacking文件中增加或删除关键字。
logcheck.violations 这个文件设置在日志文件分析过滤系统运行时出现异常情况的关键字。
logcheck.violations.ignore 如果系统出现异常情况,但含有此文件中的关键字,则视为正常,不写入Logcheck的分析报告文件中。
logcheck.ignore 如果系统日志文件记录了可能遭遇攻击的消息,但含有logcheck.ignore文件中的关键字,则Logcheck视为正常,在分析报告文件中不包含这些消息。
安装完Logcheck后,还要修改logcheck.sh文件中的参数以符合用户的要求。有两点值得注意。下列命令:
# Person to send log activity to.
SYSADMIN=root
Logcheck默认将报告发给root。如果要发给指定的电子邮箱,改动这里就可以了。如果希望将报告发给多个用户,可以定义mail的别名。要检查的日志文件的设置: # Linux
$LOGTAIL /var/log/syslog > $TMPDIR/check.$$
$LOGTAIL /var/log/messages >> $TMPDIR/check.$$
用户可以根据需要加上要检查的日志文件,例如:
$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/mail.log >> $TMPDIR/check.$$
最后用cron安排服务器自动定时重复执行logcheck.sh脚本文件。
後續
當然了,並不是所有顯示出來的警告訊息都給全盤接受.
若想要忽略他,只要仿照logcheck.ignore的格式,將不想要顯示的訊息忽略.
如我今天不想要收到關於cucipop的啟動訊息.
我就在剛檔案中,新增一行為cucipop即可.
相對的,若有訊息沒有出現,則可以在logcheck.hacking或logcheck.violations把他補上去.
多試幾次 就能夠找到適合你的方式.