Ca administratori de sistem, trebuie să avem întotdeauna cele mai bune instrumente și aplicații care ne permit să desfășurăm sarcini de monitorizare și supraveghere într-un mod mult mai cuprinzător, adică nu numai să obținem date superficiale, ci complete despre fiecare acțiune care are loc atât la nivel intern, cât și la nivel intern. extern în cadrul sistemului de operare.
Una dintre cele mai bune modalități de a accesa aceste informații este prin jurnalele sau înregistrările de evenimente în care sunt stocate mai multe date, cum ar fi:
- Pornirile, repornirile și opririle sistemului sunt reușite și nereușite
- Acces la aplicații și programe
- Evenimente de securitate
- Jurnale de conexiuni de intrare și ieșire și multe altele.
Una dintre cele mai bune opțiuni pentru a accesa monitorizarea acestor jurnale este Swatchdog și, prin urmare, în Solvetic vă vom explica cum să îl instalați și să îl utilizați în Linux.
Ce este SwatchdogSwatchdog este un script simplu bazat pe Perl, care a fost dezvoltat pentru a monitoriza fișierele jurnal active pe sisteme de tip Unix, cum ar fi Linux.
Swatchdog este capabil să monitorizeze aproape orice tip de jurnale pe Linux și aceste jurnale sunt produse de funcția syslog Unix și va fi posibil să vedem jurnale bazate pe expresii regulate pe care le putem defini în fișierul de configurare al utilitarului.
1. Cum se instalează Swatchdog pe Linux
Pentru acest caz vom folosi Ubuntu 18.04, pachetul swatchdog este disponibil pentru instalare din depozitele oficiale ale fiecărei distribuții principale Linux ca pachet „swatch” printr-un manager de pachete, pentru instalarea acestuia putem executa următoarele pe baza distribuției folosit:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
MARI
Apăsați tasta S pentru a confirma descărcarea și instalarea Swatchdog.
Dacă dorim să instalăm cea mai recentă versiune a Swatchdog, aceasta trebuie să fie compilată din sursă folosind următoarele comenzi pe toate distribuțiile Linux:
git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realcleanCu aceste comenzi o veți avea gata.
2. Cum se configurează Swatchdog pe Linux
Odată ce procesul de instalare Swatchdog a fost finalizat, va fi necesar să creați fișierul de configurare, locația sa implicită este /home/$USER/.swatchdogrc sau .swatchrc, aceasta pentru a determina ce tipuri de modele de expresie sunt utilizate. căutarea și ce fel de acțiune ar trebui executată atunci când se combină un model.
Pasul 1
Pentru a crea acest fișier vom folosi una dintre următoarele opțiuni:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
MARI
NotăCâmpul Solvetic trebuie înlocuit de utilizatorul respectiv.
Acum vom adăuga o expresie regulată în acest fișier și fiecare linie trebuie să conțină un cuvânt cheie și o valoare separate printr-un spațiu sau un semn egal (=), va fi necesar să specificați un model și o acțiune de întreprins în cadrul evenimentului că un model.
Accesăm fișierul folosind editorul dorit:
sudo nano swatchdogrcPasul 2
Acolo vom lipi, ca exemplu, următoarele:
watchfor / sudo / echo red [email protected], subject = "Sudo Action"
MARI
Salvăm modificările folosind tastele:
Ctrl + O
și părăsim editorul folosind:
Ctrl + X
Pasul 3
În acest exemplu, expresia regulată este un șir literal numit „sudo”, ceea ce înseamnă că de fiecare dată când șirul sudo este executat în fișierul jurnal, acesta va imprima text roșu la terminal și acțiunea va fi specificată la poștă. a fost executat, deci vom avea informații constante despre acțiunile efectuate.
După configurarea sa, swatchdog citește implicit fișierul jurnal / var / log / syslog și, dacă acest fișier nu este prezent, va citi / var / log / messages.
Executăm următoarele pentru a citi registrele:
swatch (RHEL / CentOS și Fedora) swatchdog (Ubuntu / Debian)
MARI
Pasul 4
De asemenea, va fi posibil să indicați un fișier de configurare diferit folosind parametrul -c, pentru aceasta vom crea mai întâi un fișier după cum urmează:
mkdir swatch touch swatch / secure.confPasul 5
Odată creată, vom adăuga următoarea configurație la fișier pentru a monitoriza încercările eșuate de autentificare, încercările eșuate de autentificare SSH, autentificările SSH reușite în fișierul / var / log / log securizat.
watchfor / FAILED / echo red [email protected], subject = "Încercarea de acces a eșuat" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Acces la rădăcină reușit" watchfor /ssh.*: Eșuat parolă / echo mail roșu = [email protected], subiect = "Încercare de conectare SSH nereușită" watchfor /ssh.*: sesiune deschisă pentru utilizator root / echo mail roșu = [email protected], subiect = "SSH Root access Right"
MARI
Pasul 6
Salvăm modificările folosind tastele Ctrl + O și ieșim din editor folosind Ctrl + X.
Acum vom rula Swatch specificând fișierul de configurare creat folosind fișierul -c și jurnalul folosind steagul -t astfel:
swatchdog -c ~ / swatch / secure.conf -t / var / log / securePasul 7
În acest fel, pe măsură ce înregistrările sunt înregistrate, acestea vor fi afișate în rezultatele Swatchdog.
În plus, putem crea alte fișiere pentru monitorizare, cum ar fi:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemonCâteva opțiuni de utilizare suplimentare sunt:
--awk-field-sintaxăAceastă opțiune poate fi utilizată numai dacă doriți să suprascrieți backend-ul regex în favoarea referinței de câmp în stil awk
-config-file | -c nume de fișierÎi spune swatchdog-ului unde să găsească fișierul de configurare
- demonÎi spune lui Swatchdog să ruleze în fundal și să se desprindă de orice terminal
-extra-module | -M nume_modulSpuneți swatchdog-ului ce module de acțiune personalizate să încărcați.
Astfel, va fi posibil să păstrați un control mai precis al evenimentelor în Linux datorită acestui utilitar.
