使用 last 命令进行安全监控

使用 last 命令进行安全监控

我是 Linux 管理新手,正在寻找一种在用户登录时接收电子邮件警报的好方法。我认为这可能是一种有用的安全监控工具,让我能够几乎实时地查看谁在使用系统。我知道使用“last”命令我可以看到谁登录了以及他们何时登录以及他们使用的 IP。有没有人知道当命令的输出发生变化时,我可以通过什么方法将命令的输出通过电子邮件发送给我?有没有更好的方法?

答案1

监控 Linux 机器访问的标准方式是通过转发通常在 /var/log/security 中可用的身份验证消息。(取自 authpriv.* 设施)

可以使用各种方法来转发这些消息。许多组织使用 syslog 协议转发这些日志,例如使用 rsyslog。如果在盒子上配置了邮件服务器,Rsyslog 允许发送邮件,尽管它通常会转发到另一个盒子,在那里存储以供进一步使用(警报、历史分析、遗留存储等)。

首先这是……

相关内容