几周以来,我管理着我的第一个 Web 服务器,这是一个位于 Linode 上的 Apache 代理后面的 Seaside 应用程序,并且我安装了 logwatch 来向我发送每日日志。
我可以在哪里获得有关何时必须根据这些日志监视报告中的内容采取行动的信息?
例如,我读到各种各样的人尝试登录有趣的不存在的帐户或各种各样的网络爬虫测试不存在的 cms 登录页面,一些 IP 地址被 fail2ban 禁止和解除禁止...
我认为这是正常的吗?是吗?但我怎么知道我可能需要做点什么呢?我应该在日志中查找什么?
答案1
- 谷歌
- 是的,这就是所谓的互联网背景噪音,黑客试图进入你的机器。这很正常。无论如何,你可以安装一个基于主机的入侵检测系统,如 OSSEC。好处是,这将阻止攻击,这样你晚上就可以睡得更好了。
答案2
您必须学习并熟记日志。即使您不理解某些特定消息的确切含义。但是,当您突然发现某些东西出现问题时,您就会知道您遇到了一些问题。这对您来说很明显,如果您听到您的硬盘开始发出一些您从未听过的奇怪声音,那么即使您完全不知道为什么会发出这种声音,它肯定出了问题,对吗?日志也一样。
被黑客攻击的后果可能非常惨痛。想象一下,您的 VPS 将参与到针对金融机构的复杂黑客攻击计划中。您租用了这个虚拟实体,并且拥有完全控制权。因此,您负有全部责任。
生活就是生活...
答案3
立即想到的是使用日志分析器,例如免费版 Splunk。手动阅读日志是一种很好的学习方式,但需要时间并且会增加因忽略某些事情而导致人为错误的可能性。日志分析器可以成为帮助人们增加知识的拐杖。
免费版本有限制,但可以快速显示功能以及是否值得追求这些功能。要将日志导入 Splunk:
另一个开源选项是 syslong-NG: