我想在我的 Ubuntu 机器上设置一个“警报”,报告日志中发生的奇怪事情。假设我希望它在发生某个事件时保存信息,例如某人尝试登录但失败了。有什么想法吗?
编辑 1:我知道有 OSSEC 之类的工具,但我想自己做,比如设置一组触发我自己的警报的规则。我只是在玩日志系统,所以我不太确定我想要的是否可行。
答案1
fail2ban
几乎就是您所描述的。
您告诉它要观察什么以及如果触发了某些事情要做什么。
它附带了一系列脚本,用于监视auth.log
滥用行为(触发 iptables 禁令)等。我甚至连接了一个 Wordpress 网站,如果有人试图强行闯入登录页面,就会触发 IP 阻止。
语法不是很明显但是很灵活。