今天早上我发现我的网络服务器遭到了暴力攻击。我是在随机检查 /var/log/auth.log 文件并看到传入请求时才发现这一点的。有人能告诉我应该在 Apache 网络服务器上读取哪些日志文件吗?除此之外,是否值得通过电子邮件将日志发送给自己以供闲暇时阅读,如果值得,最简单的方法是什么?
答案1
类似的工具操作系统安全评估中心真正帮助你在事情发生时及时发现它们,而不是等到第二天才发现。
除此之外,我继续使用 logwatch 只是为了可以通过我的邮件客户端快速搜索存档摘要。
答案2
Logwatch 将扫描并邮寄日志的详细信息。如果您甚至需要查看较旧的状态,这对于存档目的非常有用。较大的生产机器往往需要对输出进行某种过滤。
另外,安装denyhosts或类似程序来阻止尝试。
答案3
只需使用 logcheck 或 logwatch(我个人更喜欢 logcheck)即可过滤掉所有您不想看到的内容,然后其余内容将通过电子邮件发送给您。非常有用,应该在每台服务器上运行。
答案4
根据您要监控的盒子数量,您可能需要研究集中日志监控系统。我个人甚至在小型部署中也使用它,因为它可以更方便地集中访问和搜索我的所有日志(不仅仅是 Apache)。
类似的工具Splunk使其使用起来非常容易和愉快。