我正在编写一个脚本来监控服务器上的攻击和探测。但我主要只是在 /var/log/messages 中查找有趣的信息。我还能在哪里查找?
答案1
此外失败禁止看着拒绝主机。它们的工作方式略有不同,因此其中一个可能比另一个更适合您的环境。我使用过的两个最轻量级的日志监控工具是日志监测和日志哨兵。
日志监测是目前相当标准的工具。它通常每晚运行,解析大量日志并通过电子邮件发送一份关于日常活动的报告。例如用户登录、sudo 命令、磁盘利用率以及一般诡异的日志消息。根据我的经验,此工具几乎从未调整过,默认配置提供了足够好的结果。
日志哨兵(以前称为 logcheck)运行频率更高,通常每小时运行一次,并且严格来说是一个日志消息解析器。它包含普通的消息,并假设其他任何事情都是坏的。然后这些坏消息被汇编在一起并通过电子邮件发送出去。此工具可能需要相当多的调整。您必须确保它既能监控全部您想要的日志文件,并确保它知道您的环境中的正常情况。
两者都是不错的工具,而且彼此之间有很大区别,因此同时运行它们并不一定是多余的。过去,我使用 LogWatch 每天为我提供系统状态的详细摘要,而使用 logsentry 则在发生异常情况时通知我。
答案2
答案3
我使用 Shorewall 作为防火墙,并采用日志丢弃策略。我使用 dshield 日志解析器将端口探测报告给 dshield.org,并将日志文件复制给我。logcheck 工具还会每小时扫描一次我的日志并报告任何有趣的数据。
我发现现在端口扫描已经不那么频繁了。可能是因为使用类似fail2ban的工具,端口扫描就没那么有吸引力了。