একটি সহজ এবং কার্যকর সাধারণ সমাধান হ'ল লগচেক ব্যবহার করা ।
sudo apt-get install logcheck
[edit /etc/logcheck/logcheck.conf to your liking]
লগ চেক পর্যায়ক্রমে সমস্ত লগগুলি দক্ষতার সাথে স্ক্যান করে (এটি সর্বশেষবার ছেড়ে যাওয়া শুরু করে), এটি সাধারণ হিসাবে বিবেচিত কোনও কিছু দূর করতে যা দেখায় তা ফিল্টার করে এবং সাধারণ / রুটিন নিদর্শনগুলির সাথে মেলে না এমন কিছু দিয়ে optionচ্ছিকভাবে সতর্কতা ইমেল করে।
মূল ধারণাটি হ'ল আপনার লগ ফাইলগুলিতে যেকোন গুরুতর এন্ট্রিগুলির উপস্থিতির জন্য নজর রাখা, সেগুলি সব সময়, যাতে আপনার প্রয়োজন হয় না।
লগ চেক অত্যন্ত কনফিগারযোগ্য (man logcheck)। আপনি সবকিছু কনফিগার করতে পারেন, সহ:
- চেক ফ্রিকোয়েন্সি
- কোন লগ ফাইল চেক করা হয়
- সাধারণ বনাম যা বিবেচিত হয় না
- সতর্কতাগুলি (অস্বাভাবিক ঘটনাগুলি) কোথায় ইমেল করবেন
এবং আরও। আপনার উপেক্ষা (স্বাভাবিক / রুটিন) নিদর্শনগুলি /etc/logcheck/ignore.d.* এর অধীনে একাধিক ফাইলে থাকে এবং আপনি এগুলি আপনার প্রয়োজন অনুসারে কাস্টমাইজ করতে পারেন; প্রধানত আপনি এড়াতে আপনার নিজস্ব নিদর্শন যুক্ত করতে চাইতে পারেন। ডিফল্ট উবুন্টু প্যাকেজটি ইতিমধ্যে অনেক পরিষেবাগুলির জন্য উপেক্ষিত নিদর্শনগুলির সাথে ফাইলগুলির একটি বিস্তৃত সেট নিয়ে আসে, সুতরাং আপনার সিস্টেমটি যেটি চালায় তাতে অস্বাভাবিক না হলে যোগ করার বেশি কিছুই নেই। এখানে প্রাক-কনফিগার করা ফাইলের প্রোফাইলগুলি উপেক্ষা করুন: সেটেল.ড. ওয়ার্কস্টেশন , উপেক্ষা.ড.সার্ভার এবং উপেক্ষা.ড.প্যারানয়েড যা আপনি বেছে নিতে পারেন 3 সেট রয়েছে ।
লগ চেকের পিছনে মূল ধারণাটি হ'ল কোনও সিস্টেমে চলমান বিভিন্ন পরিষেবাগুলি ইতিমধ্যে অস্বাভাবিক ঘটনাগুলিতে লগ করে। যেমন sshd বা পাম ইতিমধ্যে প্রমাণীকরণ ব্যর্থতা লগ। সুতরাং প্রধান অনুপস্থিত উপাদানগুলি হ'ল:
- সাধারণ কি ফিল্টারিং
- সতর্ক সেবা
উভয়ই একটি সুবিধাজনক প্যাকেজে লগ চেক দ্বারা সরবরাহ করা হয় । আপনি অন্য কোনও লগিংয়ের সাথে লগচেক একত্রিত করতে পারেন । উদাহরণস্বরূপ iptables- র করতে কনফিগার করা যাবে syslog কোন নেটওয়ার্ক সংযোগ প্রচেষ্টা যে স্পষ্টভাবে নিয়ম যোগ করে মঞ্জুরিপ্রাপ্ত নয়:
iptables -A input -j LOG
iptables -A input -j DROP
সমস্ত অনুমতি বিধি পরে অবিলম্বে।
আমি খুঁজে logcheck চেয়ে অনেক বেশী সহায়ক হতে logwatch কারণ এটি নিয়ম খুব বড় সংখ্যা সঙ্গে প্রাক প্যাকেজ উপেক্ষা করার কি স্বাভাবিক কার্যকলাপ বিবেচিত হচ্ছে আসে (অন্যান্য উত্তর প্রস্তাবিত)। সতর্কতাগুলির ইমেলগুলিতে ফলাফলটি অনেক বেশি সংকেত / শব্দের অনুপাত। YMMV।
আরেকটি সুবিধা logcheck এটি হল লম্ব কোনো সেবা লগ, তাই ফাংশনের কোন অনুলিপি যে হয়। যখনই আপনি কোনও নতুন পরিষেবা যুক্ত করেন যা আপনার syslogঅধীনে যে কোনও ফাইলে ইভেন্ট লগ করতে অস্বাভাবিক বা না ব্যবহার করে, এর /var/logজন্য স্বয়ংক্রিয়ভাবে সতর্কতা পেতে শুরু করে।
কিভাবে:
যেহেতু logcheckইতিমধ্যে প্রাক-কনফিগার করা হয়েছে, এই উত্তরটির শীর্ষে দুটি লাইন আপনাকে আরম্ভ করার জন্য প্রয়োজনীয় সমস্তটি আবশ্যক। কেবল এটি ইনস্টল করুন, এবং শীর্ষস্থানীয় কনফিগারেশন ফাইলটিতে যান:
/etc/logcheck/logcheck.confআপনার ইমেল ঠিকানাটি পরিবর্তন করতে যাতে logcheckইমেলগুলি আপনাকে সতর্ক করে ts
এখানে একটি বন্ধুত্বপূর্ণ তথ্যসূত্রটি আরও বিশদে দ্বিতীয় ধাপটি ছাড়ছে । যেহেতু উবুন্টু ডেবিয়ানের উপর ভিত্তি করে, উবুন্টুতেও এই নির্দেশাবলী কার্যকর করা উচিত।
এখানে আরও একটি ভাল রেফারেন্স ।
একবার ইনস্টল করার পরে, অবিচ্ছিন্ন উন্নতি প্রক্রিয়া শুরু হয়। সময়ের সাথে সাথে, আপনি ইতিমধ্যে জেনে থাকা এবং বোধ করছেন এমন কোনও বিষয় উপেক্ষা করার জন্য আপনার বিধিগুলি পরিমার্জন করুন concern এই পরিশোধন প্রক্রিয়াটি আপনার প্রিয় পাঠ্য সম্পাদকের কোনও ফাইলে পাঠ্য লাইন যুক্ত করার মতোই সহজ।
উপেক্ষা করা ফাইলের প্রতিটি লাইন একটি বর্ধিত নিয়মিত অভিব্যক্তি (দেখুন man 7 regex), তবে আপনি এড়াতে চান এমন লগ লাইনের সাথে মেলে যতক্ষণ না আপনি সহজ স্ট্রিং ব্যবহার করতে পারেন। শুধু মনে রাখবেন যে অক্ষর পছন্দ *, ?, + ', [], ()একটি রেগুলার এক্সপ্রেশন বিশেষ, তাই যদি তারা আসলে লগ লাইনে উপস্থিত আপনি তাদের একটি ব্যাকস্ল্যাশ নিয়ে পালানোর হবে \ফাইল উপেক্ষা করা হবে।
অন্য কথায়: আপনি যদি কোনও সতর্কতা পান যা আপনি পেতে চান না, তবে আপনার ইমেল করা লগ লাইনটি দেখুন এবং এটির সাথে মেলে এমন একটি প্যাটার্ন যুক্ত করুন, যা আপনার পছন্দের যে কোনও উপেক্ষা করা ফাইলের এক লাইন হিসাবে। আমি /etc/logcheck/ignore.d.<yourloglevel>/my-ignoresআপনার ব্যক্তিগত উপেক্ষা ফাইল হিসাবে ব্যবহার করার পরামর্শ দিচ্ছি
। কোথায় <yourloglevel>এক paranoid, serverঅথবা
workstation(যদি ইতিমধ্যে প্রধান কনফিগ ফাইলে নির্বাচন করেছেন হিসাবে: /etc/logcheck/logcheck.conf)। প্রক্রিয়া-আইডি, বা টাইম স্ট্যাম্পের মতো সমস্ত সময় পরিবর্তিত পাঠ্যের জন্য কীভাবে অ্যাকাউন্ট করতে হয় তা দেখতে অন্যান্য উপেক্ষা করা ফাইলগুলির উদাহরণগুলিতে দেখুন। প্রচুর বিদ্যমান উদাহরণগুলি থেকে শিখতে হবে।
একটি শেষ টিপ: logcheckএকটি সামান্য দরকারী ইউটিলিটি সহ আসে logcheck-testযা নতুন নিয়মের পরীক্ষার জন্য খুব কার্যকর। man logcheck-testবিস্তারিত জানার জন্য.