我的 Debian 服务器经常受到攻击,如其/var/log/auth.log文件所示。
rsync我想知道是否有通过将所有重要日志文件发送到远程端点或同系列的东西来监视它的最佳实践。我非常确定,有更多经验丰富的 *nix 管理员可能会为此提出更好的想法,因此我对各种想法持开放态度。
答案1
将日志发送到安全的地方总是一个好主意,并且有几种不同的方法可以做到这一点。
最基本的是让您的系统日志守护进程为您做这件事。对于普通情况,syslog您可以将类似的内容添加到您的/etc/syslog.conf:
*.debug @your.remote.server.address
然后,您可以在另一端配置 syslog 守护程序(和您的防火墙)以接受和存储记录的事件。
这样做的缺点是 (a) 日志以明文形式发送,(b) syslog 默认使用 UDP,因此不能保证您的日志能够到达(尽管它们可能会到达!)。您可以通过将它们通过加密隧道发送到日志服务器来缓解 (a) 的问题。
更全面的解决方案是日志存储,这会将您的日志发送到中央服务器以进行索引和存储。设置起来需要相当多的工作,并且非常适合您有许多服务器日志需要收集的情况,或者您希望能够在途中进行复杂的转换和解析的情况。