Linux下常用日誌分析工具Logcheck簡介

 

作者：劉志勇 郭聰輝

對於擁有大量賬戶、系統繁忙的Linux系統而言，其記錄檔是極其龐大的，很多沒有用的資訊會將值得注意的資訊淹沒，給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具，如Logcheck和Friends。

　　Logcheck用來分析龐大的記錄檔，過濾出有潛在安全風險或其他不正常情況的記錄項目，然後以電子郵件的形式通知指定的使用者。它是由Psionic開發的，可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下載。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。

　　該程式的安裝相當方便。解壓後運行make檔案，按照它的提示選擇作業系統的類型以後就能編譯完成了。設定檔和運行指令碼預設安裝在/usr/local/etc/下。

　　logcheck.sh

　　這是Logcheck的shell指令碼，用於分析本次的記錄檔並彙報結果。

　　logcheck.hacking

　　這個檔案設定在記錄檔中過濾的關鍵字，該關鍵字提示了潛在安全風險的資訊。使用者可以定製自己的記錄檔，在logcheck.hacking檔案中增加或刪除關鍵字。

　　logcheck.violations

　　這個檔案設定在記錄檔分析過濾系統運行時出現異常情況的關鍵字。

　　logcheck.violations.ignore

　　如果系統出現異常情況，但含有此檔案中的關鍵字，則視為正常，不寫入Logcheck的分析報告檔案中。

　　logcheck.ignore

　　如果系統記錄檔記錄了可能遭遇攻擊的訊息，但含有logcheck.ignore檔案中的關鍵字，則Logcheck視為正常，在分析報告檔案中不包含這些訊息。

　　安裝完Logcheck後，還要修改logcheck.sh檔案中的參數以符合使用者的要求。有兩點值得注意。下列命令：

# Person to send log activity to.SYSADMIN=root

　　Logcheck預設將報告發給root。如果要發給指定的電子郵箱，改動這裡就可以了。如果希望將報告發給多個使用者，可以定義mail的別名。要檢查的記錄檔的設定：

# Linux$LOGTAIL /var/log/syslog > $TMPDIR/check.$ $LOGTAIL /var/log/messages >> $TMPDIR/check.$使用者可以根據需要加上要檢查的記錄檔，例如：$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$$LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$$LOGTAIL /var/log/mail.log >> $TMPDIR/check.$

　　最後用cron安排伺服器自動定時重複執行logcheck.sh指令檔。

 

相關閱讀:

• 封裝 logging 模組 (kency, 2007-2-12)
• Linux日誌分析的實戰專題 (alone, 2007-2-13)
• Linux日誌系統簡介 (alone, 2007-2-13)
• RedHat Linux常見的記錄檔和常用命令 (alone, 2007-2-13)
• 配置Linux記錄檔 (alone, 2007-2-13)
• 管理記錄檔工具logrotate簡介 (alone, 2007-2-13)