Jako administratorzy systemów musimy zawsze dysponować najlepszymi narzędziami i aplikacjami, które pozwolą nam realizować zadania monitoringu i nadzoru w znacznie bardziej kompleksowy sposób, czyli nie tylko pozyskiwać powierzchowne, ale kompletne dane o każdej akcji, która występuje zarówno na poziomie wewnętrznym, jak i zewnętrzne w ramach systemu operacyjnego.
Jednym z najlepszych sposobów uzyskania dostępu do tych informacji są dzienniki lub zapisy zdarzeń, w których przechowywanych jest wiele danych, takich jak:
- Pomyślne i nieudane uruchamianie systemu, ponowne uruchamianie i zamykanie
- Dostęp do aplikacji i programów
- Wydarzenia związane z bezpieczeństwem
- Dzienniki połączeń przychodzących i wychodzących i wiele więcej.
Jedną z najlepszych opcji dostępu do monitorowania tych dzienników jest Swatchdog, dlatego w Solvetic wyjaśnimy, jak zainstalować i używać go w systemie Linux.
Co to jest SwatchdogSwatchdog to prosty skrypt oparty na Perlu, który został opracowany do monitorowania aktywnych plików dziennika w systemach uniksopodobnych, takich jak Linux.
Swatchdog jest w stanie monitorować prawie każdy rodzaj logów w systemie Linux, a te logi są tworzone przez funkcję Unix syslog i będzie można zobaczyć logi oparte na wyrażeniach regularnych, które możemy zdefiniować w pliku konfiguracyjnym narzędzia.
1. Jak zainstalować Swatchdog w systemie Linux
W tym przypadku użyjemy Ubuntu 18.04, pakiet swatchdog jest dostępny do instalacji z oficjalnych repozytoriów każdej z głównych dystrybucji Linuksa jako pakiet „swatch” za pośrednictwem menedżera pakietów, do jego instalacji możemy wykonać następujące na podstawie dystrybucji używany:
próbka instalacji sudo apt (Ubuntu / Debian) próbka instalacji sudo yum wersja epel && próbka instalacji sudo yum (RHEL / CentOS) próbka instalacji sudo dnf (Fedora 22)
POWIĘKSZAĆ
Naciśnij klawisz S, aby potwierdzić pobranie i instalację programu Swatchdog.
Jeśli chcemy zainstalować najnowszą wersję programu Swatchdog, należy ją skompilować ze źródeł za pomocą następujących poleceń we wszystkich dystrybucjach Linuksa:
git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realcleanDzięki tym poleceniom będziesz mieć to gotowe.
2. Jak skonfigurować Swatchdoga w systemie Linux
Po zakończeniu procesu instalacji programu Swatchdog konieczne będzie utworzenie pliku konfiguracyjnego, jego domyślna lokalizacja to /home/$USER/.swatchdogrc lub .swatchrc, aby określić, jakie typy wzorców wyrażeń są używane. zamierzam szukać i jakie czynności należy wykonać przy łączeniu wzorca.
Krok 1
Aby utworzyć ten plik, użyjemy jednej z następujących opcji:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
POWIĘKSZAĆ
NotatkaPole Solvetic musi zostać zastąpione przez odpowiedniego użytkownika.
Teraz dodamy do tego pliku wyrażenie regularne i każda linia musi zawierać słowo kluczowe i wartość oddzielone spacją lub znakiem równości (=), konieczne będzie określenie wzorca i akcji, którą należy podjąć w zdarzeniu że wzór.
Dostęp do pliku uzyskujemy za pomocą żądanego edytora:
sudo nano swatchdogrcKrok 2
Tam wkleimy jako przykład:
watchfor / sudo / echo red [email protected], subject = "Akcja Sudo"
POWIĘKSZAĆ
Zmiany zapisujemy za pomocą klawiszy:
Ctrl + O
i wychodzimy z edytora za pomocą:
Ctrl + X
Krok 3
W tym przykładzie wyrażenie regularne jest dosłownym ciągiem o nazwie „sudo”, co oznacza, że za każdym razem, gdy ciąg sudo jest wykonywany w pliku dziennika, wydrukuje on czerwony tekst na terminalu, a akcja zostanie określona w wiadomości e-mail. zostały wykonane, dzięki czemu będziemy mieć stałą informację o przeprowadzonych akcjach.
Po skonfigurowaniu swatchdog domyślnie odczytuje plik log / var / log / syslog, a jeśli tego pliku nie ma, odczyta / var / log / wiadomości.
Do odczytu rejestrów wykonujemy następujące czynności:
swatch (RHEL / CentOS i Fedora) swatchdog (Ubuntu / Debian)
POWIĘKSZAĆ
Krok 4
Możliwe będzie również wskazanie innego pliku konfiguracyjnego za pomocą parametru -c, w tym celu najpierw utworzymy plik w następujący sposób:
mkdir swatch touch swatch / secure.confKrok 5
Po utworzeniu dodamy następującą konfigurację do pliku w celu monitorowania nieudanych prób logowania, nieudanych prób logowania SSH, udanych logowań SSH w / var / log / log file secure.
watchfor / FAILED / echo red [email protected], subject = "Próba dostępu nie powiodła się" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Dostęp do roota udany" watchfor /ssh.*: Nie powiodło się password / echo red mail = [email protected], subject = "Nieudana próba połączenia SSH" watchfor /ssh.*: sesja otwarta dla użytkownika root / echo red mail = [email protected], subject = "Prawo dostępu do roota SSH"
POWIĘKSZAĆ
Krok 6
Zapisujemy zmiany za pomocą klawiszy Ctrl + O i wychodzimy z edytora za pomocą Ctrl + X.
Teraz uruchomimy Swatch, określając plik konfiguracyjny utworzony przy użyciu pliku -c oraz log przy użyciu flagi -t w następujący sposób:
swatchdog -c ~ / swatch / secure.conf -t / var / log / secureKrok 7
W ten sposób rejestrowane wpisy będą wyświetlane w wynikach Swatchdoga.
Dodatkowo możemy tworzyć inne pliki do monitoringu takie jak:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ /messages_watch_config -t / var / log /messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --demonNiektóre dodatkowe opcje użytkowania to:
--awk-field-składniaTa opcja może byćużyta tylko wtedy, gdy chcesz zastąpić backend wyrażeń regularnych na rzecz odwołań do pól w stylu awk
-config-file | -c nazwa plikuMówi swatchdogowi, gdzie znaleźć plik konfiguracyjny
--demonNakazuje swatchdogowi działanie w tle i odłączenie od dowolnego terminala
-extra-module | -M nazwa_modułuPoinformuj swatchdoga, które niestandardowe moduły akcji mają zostać załadowane.
Dzięki temu narzędziu będzie możliwe dokładniejsze kontrolowanie zdarzeń w Linuksie.
