একটি সহজ এবং কার্যকর সাধারণ সমাধান হ'ল লগচেক ব্যবহার করা ।
sudo apt-get install logcheck
[edit /etc/logcheck/logcheck.conf to your liking]
লগ চেক পর্যায়ক্রমে সমস্ত লগগুলি দক্ষতার সাথে স্ক্যান করে (এটি সর্বশেষবার ছেড়ে যাওয়া শুরু করে), এটি সাধারণ হিসাবে বিবেচিত কোনও কিছু দূর করতে যা দেখায় তা ফিল্টার করে এবং সাধারণ / রুটিন নিদর্শনগুলির সাথে মেলে না এমন কিছু দিয়ে optionচ্ছিকভাবে সতর্কতা ইমেল করে।
মূল ধারণাটি হ'ল আপনার লগ ফাইলগুলিতে যেকোন গুরুতর এন্ট্রিগুলির উপস্থিতির জন্য নজর রাখা, সেগুলি সব সময়, যাতে আপনার প্রয়োজন হয় না।
লগ চেক অত্যন্ত কনফিগারযোগ্য (man logcheck
)। আপনি সবকিছু কনফিগার করতে পারেন, সহ:
- চেক ফ্রিকোয়েন্সি
- কোন লগ ফাইল চেক করা হয়
- সাধারণ বনাম যা বিবেচিত হয় না
- সতর্কতাগুলি (অস্বাভাবিক ঘটনাগুলি) কোথায় ইমেল করবেন
এবং আরও। আপনার উপেক্ষা (স্বাভাবিক / রুটিন) নিদর্শনগুলি /etc/logcheck/ignore.d.* এর অধীনে একাধিক ফাইলে থাকে এবং আপনি এগুলি আপনার প্রয়োজন অনুসারে কাস্টমাইজ করতে পারেন; প্রধানত আপনি এড়াতে আপনার নিজস্ব নিদর্শন যুক্ত করতে চাইতে পারেন। ডিফল্ট উবুন্টু প্যাকেজটি ইতিমধ্যে অনেক পরিষেবাগুলির জন্য উপেক্ষিত নিদর্শনগুলির সাথে ফাইলগুলির একটি বিস্তৃত সেট নিয়ে আসে, সুতরাং আপনার সিস্টেমটি যেটি চালায় তাতে অস্বাভাবিক না হলে যোগ করার বেশি কিছুই নেই। এখানে প্রাক-কনফিগার করা ফাইলের প্রোফাইলগুলি উপেক্ষা করুন: সেটেল.ড. ওয়ার্কস্টেশন , উপেক্ষা.ড.সার্ভার এবং উপেক্ষা.ড.প্যারানয়েড যা আপনি বেছে নিতে পারেন 3 সেট রয়েছে ।
লগ চেকের পিছনে মূল ধারণাটি হ'ল কোনও সিস্টেমে চলমান বিভিন্ন পরিষেবাগুলি ইতিমধ্যে অস্বাভাবিক ঘটনাগুলিতে লগ করে। যেমন sshd বা পাম ইতিমধ্যে প্রমাণীকরণ ব্যর্থতা লগ। সুতরাং প্রধান অনুপস্থিত উপাদানগুলি হ'ল:
- সাধারণ কি ফিল্টারিং
- সতর্ক সেবা
উভয়ই একটি সুবিধাজনক প্যাকেজে লগ চেক দ্বারা সরবরাহ করা হয় । আপনি অন্য কোনও লগিংয়ের সাথে লগচেক একত্রিত করতে পারেন । উদাহরণস্বরূপ iptables- র করতে কনফিগার করা যাবে syslog কোন নেটওয়ার্ক সংযোগ প্রচেষ্টা যে স্পষ্টভাবে নিয়ম যোগ করে মঞ্জুরিপ্রাপ্ত নয়:
iptables -A input -j LOG
iptables -A input -j DROP
সমস্ত অনুমতি বিধি পরে অবিলম্বে।
আমি খুঁজে logcheck চেয়ে অনেক বেশী সহায়ক হতে logwatch কারণ এটি নিয়ম খুব বড় সংখ্যা সঙ্গে প্রাক প্যাকেজ উপেক্ষা করার কি স্বাভাবিক কার্যকলাপ বিবেচিত হচ্ছে আসে (অন্যান্য উত্তর প্রস্তাবিত)। সতর্কতাগুলির ইমেলগুলিতে ফলাফলটি অনেক বেশি সংকেত / শব্দের অনুপাত। YMMV।
আরেকটি সুবিধা logcheck এটি হল লম্ব কোনো সেবা লগ, তাই ফাংশনের কোন অনুলিপি যে হয়। যখনই আপনি কোনও নতুন পরিষেবা যুক্ত করেন যা আপনার syslog
অধীনে যে কোনও ফাইলে ইভেন্ট লগ করতে অস্বাভাবিক বা না ব্যবহার করে, এর /var/log
জন্য স্বয়ংক্রিয়ভাবে সতর্কতা পেতে শুরু করে।
কিভাবে:
যেহেতু logcheck
ইতিমধ্যে প্রাক-কনফিগার করা হয়েছে, এই উত্তরটির শীর্ষে দুটি লাইন আপনাকে আরম্ভ করার জন্য প্রয়োজনীয় সমস্তটি আবশ্যক। কেবল এটি ইনস্টল করুন, এবং শীর্ষস্থানীয় কনফিগারেশন ফাইলটিতে যান:
/etc/logcheck/logcheck.conf
আপনার ইমেল ঠিকানাটি পরিবর্তন করতে যাতে logcheck
ইমেলগুলি আপনাকে সতর্ক করে ts
এখানে একটি বন্ধুত্বপূর্ণ তথ্যসূত্রটি আরও বিশদে দ্বিতীয় ধাপটি ছাড়ছে । যেহেতু উবুন্টু ডেবিয়ানের উপর ভিত্তি করে, উবুন্টুতেও এই নির্দেশাবলী কার্যকর করা উচিত।
এখানে আরও একটি ভাল রেফারেন্স ।
একবার ইনস্টল করার পরে, অবিচ্ছিন্ন উন্নতি প্রক্রিয়া শুরু হয়। সময়ের সাথে সাথে, আপনি ইতিমধ্যে জেনে থাকা এবং বোধ করছেন এমন কোনও বিষয় উপেক্ষা করার জন্য আপনার বিধিগুলি পরিমার্জন করুন concern এই পরিশোধন প্রক্রিয়াটি আপনার প্রিয় পাঠ্য সম্পাদকের কোনও ফাইলে পাঠ্য লাইন যুক্ত করার মতোই সহজ।
উপেক্ষা করা ফাইলের প্রতিটি লাইন একটি বর্ধিত নিয়মিত অভিব্যক্তি (দেখুন man 7 regex
), তবে আপনি এড়াতে চান এমন লগ লাইনের সাথে মেলে যতক্ষণ না আপনি সহজ স্ট্রিং ব্যবহার করতে পারেন। শুধু মনে রাখবেন যে অক্ষর পছন্দ *
, ?
, + ', []
, ()
একটি রেগুলার এক্সপ্রেশন বিশেষ, তাই যদি তারা আসলে লগ লাইনে উপস্থিত আপনি তাদের একটি ব্যাকস্ল্যাশ নিয়ে পালানোর হবে \
ফাইল উপেক্ষা করা হবে।
অন্য কথায়: আপনি যদি কোনও সতর্কতা পান যা আপনি পেতে চান না, তবে আপনার ইমেল করা লগ লাইনটি দেখুন এবং এটির সাথে মেলে এমন একটি প্যাটার্ন যুক্ত করুন, যা আপনার পছন্দের যে কোনও উপেক্ষা করা ফাইলের এক লাইন হিসাবে। আমি /etc/logcheck/ignore.d.<yourloglevel>/my-ignores
আপনার ব্যক্তিগত উপেক্ষা ফাইল হিসাবে ব্যবহার করার পরামর্শ দিচ্ছি
। কোথায় <yourloglevel>
এক paranoid
, server
অথবা
workstation
(যদি ইতিমধ্যে প্রধান কনফিগ ফাইলে নির্বাচন করেছেন হিসাবে: /etc/logcheck/logcheck.conf
)। প্রক্রিয়া-আইডি, বা টাইম স্ট্যাম্পের মতো সমস্ত সময় পরিবর্তিত পাঠ্যের জন্য কীভাবে অ্যাকাউন্ট করতে হয় তা দেখতে অন্যান্য উপেক্ষা করা ফাইলগুলির উদাহরণগুলিতে দেখুন। প্রচুর বিদ্যমান উদাহরণগুলি থেকে শিখতে হবে।
একটি শেষ টিপ: logcheck
একটি সামান্য দরকারী ইউটিলিটি সহ আসে logcheck-test
যা নতুন নিয়মের পরীক্ষার জন্য খুব কার্যকর। man logcheck-test
বিস্তারিত জানার জন্য.