我依靠 logwatch 获取有关生产服务器的信息。不幸的是,有两个部分提供了太多信息:
Attempts to use known hacks by 656 hosts were logged 1796 time(s)
from:
xxx.xxx.xxx.xx: 39 Time(s)
/\.\./\.\./\.\./ 39 Time(s)
xx.x.x.x.x: 24 Time(s)
^null$ 24 Time(s)
x.x.x.x.x: 16 Time(s)
^null$ 16 Time(s)
我如何删除显示 ^null$ 攻击的条目?我有数百个这样的条目,无论如何我都不会跟踪它们。
我还想删除此条目后面的 656 个 IP 列表:
A total of 656 sites probed the server
你能指出一个解决办法吗?
答案1
我的 Ubuntu 系统也遇到了同样的问题。logwatch 报告太长了,这两个部分尤其糟糕。在寻找配置更改后,我决定深入研究程序本身。它是用 PERL 编写的,相关文件是 /usr/share/logwatch/scripts/services/http 搜索字符串“已知黑客”和“探测服务器”,然后简单地注释掉代码的这些部分。对我来说非常有效。
答案2
除了托马斯的回答之外,您还可以修改/usr/share/logwatch/scripts/services/http和评论“探测服务器”部分,但如果您评论“已知黑客”部分,您将错过其他类型的黑客,而不仅仅是“^null$”。
我所做的是将字符串添加.\^null\$.到/etc/logwatch/conf/ignore.conf。
这样,其他类型的黑客攻击仍会显示在报告中,passwd$例如win\.ini