Als Systemadministratoren müssen wir immer über die besten Tools und Anwendungen verfügen, die es uns ermöglichen , Überwachungs- und Überwachungsaufgaben viel umfassender auszuführen, dh nicht nur oberflächliche, sondern vollständige Daten zu jeder auf einer Ebene stattfindenden Aktion zu erhalten sowohl intern als auch extern innerhalb des Betriebssystems.
Eine der besten Möglichkeiten, auf solche Informationen zuzugreifen, sind Protokolle oder Ereignisprotokolle, in denen mehrere Daten gespeichert sind, z.
- Starten, Neustarten und Herunterfahren des Systems, sowohl erfolgreich als auch fehlerhaft
- Zugriff auf Anwendungen und Programme
- Sicherheitsereignisse
- Aufzeichnungen über eingehende und ausgehende Verbindungen und vieles mehr.
Eine der besten Optionen, um auf die Überwachung dieser Protokolle zuzugreifen, ist Swatchdog. Daher wird in TechnoWikis erklärt, wie man es installiert und unter Linux verwendet.
Swatchdog ist in der Lage, nahezu alle Arten von Registern unter Linux zu überwachen. Diese Register werden von der Unix-Syslog-Funktion erstellt, und es ist möglich, die Register anhand regulärer Ausdrücke anzuzeigen, die wir in der Konfigurationsdatei des Dienstprogramms definieren können.
1. Wie installiere ich Swatchdog unter Linux?
In diesem Fall verwenden wir Ubuntu 18.04, das swatchdog-Paket steht für die Installation als “swatch” -Paket über einen Paketmanager aus den offiziellen Repositorys jeder der wichtigsten Linux-Distributionen zur Verfügung. Für die Installation können wir Folgendes ausführen basierend auf der verwendeten Verteilung:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release und sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
Drücken Sie die S-Taste, um den Download und die Installation von Swatchdog zu bestätigen.
Wenn wir die neueste Version von Swatchdog installieren möchten, muss sie in allen Linux-Distributionen mit den folgenden Befehlen aus der Quelle kompiliert werden:
Git-Klon https://github.com/ToddAtkins/swatchdog.git CD Swatchdog / perl Makefile.PL machen sudo make install sudo realclean machen
Mit diesen Befehlen haben Sie es fertig.
2. So konfigurieren Sie Swatchdog unter Linux
Nach Abschluss des Swatchdog-Installationsvorgangs muss die Konfigurationsdatei erstellt werden. Der Standardspeicherort ist /home/$USER/.swatchdogrc oder .swatchrc, um zu bestimmen, welche Arten von Ausdrucksmustern vorliegen Sie suchen und welche Art von Aktion ausgeführt werden soll, wenn ein Muster kombiniert wird.
Um diese Datei zu erstellen, verwenden wir eine der folgenden Optionen:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
Jetzt fügen wir einen regulären Ausdruck in diese Datei ein und jede Zeile muss ein Schlüsselwort und einen durch ein Leerzeichen oder ein Gleichheitszeichen (=) getrennten Wert enthalten. Im Falle einer Übereinstimmung müssen ein Muster und eine Aktion angegeben werden Muster
Greifen Sie mit dem gewünschten Editor auf die Datei zu:
sudo nano swatchdogrc
Dort werden wir als Beispiel Folgendes anführen:
watchfor / sudo / Echo-Netzwerk [email protected], subject = "Sudo Action"
Wir speichern die Änderungen mit den Tasten:
+ O Strg + O
und wir verließen den Editor mit:
+ X Strg + X
In diesem Beispiel ist der reguläre Ausdruck eine Literalzeichenfolge mit dem Namen “sudo”. Dies bedeutet, dass jedes Mal, wenn die sudo-Kette in der Protokolldatei ausgeführt wird, sie im Terminal in rotem Text gedruckt wird und die E-Mail die Aktion angibt, die ausgeführt wird wurde ausgeführt, sodass wir ständig über die durchgeführten Aktionen informiert sind.
Nach der Konfiguration liest Swatchdog standardmäßig die Protokolldatei / var / log / syslog. Wenn diese Datei nicht vorhanden ist, wird / var / log / messages gelesen.
Wir führen Folgendes aus, um die Datensätze zu lesen:
Farbfeld (RHEL / CentOS und Fedora) Swatchdog (Ubuntu / Debian)
Es ist auch möglich, eine andere Konfigurationsdatei mit dem Parameter -c anzugeben. Zuerst erstellen wir eine Datei auf folgende Weise:
mkdir Swatch Berühre swatch / secure.conf
Nach der Erstellung fügen wir der Datei die folgende Konfiguration hinzu, um erfolglose Anmeldeversuche, erfolglose SSH-Anmeldeversuche und erfolgreiche SSH-Sitzungsinitiierungen in der Datei / var / log / log zu überwachen. sicher.
watchfor / FAILED / Echo-Netzwerk [email protected], subject = "Zugriff fehlgeschlagen" watchfor / ROOT LOGIN / Echo-Netzwerk mail = [email protected], subject = "Zugriff auf Root korrekt" watchfor /ssh.*: Passwort fehlgeschlagen / Echo-Netzwerk mail = [email protected], subject = "SSH-Verbindungsversuch fehlgeschlagen" watchfor /ssh.*: Sitzung für Benutzer root geöffnet / Echo-Netzwerk mail = [email protected], subject = "Zugriff auf SSH-Root korrekt"
Speichern Sie die Änderungen mit den Tasten Strg + O und beenden Sie den Editor mit Strg + X.
Führen Sie nun Swatch aus, indem Sie die Konfigurationsdatei, die mit der Datei -c erstellt wurde, und das Protokoll mit dem Flag -t wie folgt angeben:
swatchdog -c ~ / swatch / secure.conf -t / var / log / secure
Auf diese Weise werden die aufgezeichneten Einträge in den Ergebnissen von Swatchdog angezeigt.
Zusätzlich können wir andere Dateien für die Überwachung erstellen, wie zum Beispiel:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t /var/log/auth.log --daemon
Einige zusätzliche Verwendungsoptionen sind:
Auf diese Weise ist es dank dieses Dienstprogramms möglich, Ereignisse unter Linux genauer zu steuern.