Logcheck

From Gentoo Wiki
Jump to:navigation Jump to:search
This page is a translated version of the page Logcheck and the translation is 100% complete.
Other languages:

A logcheck egy eszköz az operációs rendszer naplófájljainak az elemzésére.

Logcheck használatának megkezdése

Háttér

A app-admin/logcheck a app-admin/logsentry frissített változata, amely egy eszköz az operációs rendszer naplófájljainak az elemzésére. Továbbá a logcheck rendelkezik egy beépített adatbázissal, amely a gyakori, nem érdekes naplóüzeneteket tartalmazza, hogy kiszűrje a felesleges zajt. Az eszköz általános elképzelése az, hogy minden üzenet érdekes, kivéve azokat, amelyeket kifejezetten zajként jelölnek meg. A logcheck időszakosan küld egy e-mailt az érdekes üzenetek összefoglalójával.

Telepítés

Important
Erősen ajánlott eltávolítani a logsentry szoftvercsomagot, ha az telepítve van az operációs rendszerre. Továbbá a /etc/logcheck könyvtárat is el kell távolítani, hogy elkerüljük az engedélyekkel és a fájlütközéssel kapcsolatos problémákat.
root #emerge -c logsentry
root #rm -rf /etc/logcheck

Ezt követően folytatható a logcheck telepítése.

root #emerge --ask app-admin/logcheck

Alapbeállítás

A app-admin/logcheck egy különálló "logcheck" felhasználót hoz létre, hogy elkerülje a rootként való futtatást. Valójában megtagadja a rootként való futtatást. Ahhoz, hogy elemezhesse a naplófájlokat, biztosítani kell, hogy azok olvashatóak legyenek a logcheck számára. Íme egy példa a app-admin/syslog-ng esetében:

FILE /etc/syslog-ng/syslog-ng.confRészlet a syslog-ng beállításából
options {
    owner(root);
 
    ## (Make log files group-readable by logcheck)
    group(logcheck);
    perm(0640);
};

Ezt követően töltse újra a beállítást, és győződjön meg arról, hogy a változtatások a vártnak megfelelően működnek.

root #/etc/init.d/syslog-ng reload
root #ls -l /var/log/messages
-rw-r----- 1 root logcheck 1694438 Feb 12 12:18 /var/log/messages

Néhány alapvető logcheck-beállítást a /etc/logcheck/logcheck.conf fájlban módosítani kell:

FILE /etc/logcheck/logcheck.confAlapvető /etc/logcheck/logcheck.conf beállítások
# Controls the level of filtering:
# Can be set to "workstation", "server" or "paranoid" for different
# levels of filtering. Defaults to server if not set.
## (The workstation level includes server, and server includes paranoid.
The paranoid level filters almost no messages)
REPORTLEVEL="server"
 
# Controls the address mail goes to:
# *NOTE* the script does not set a default value for this variable!
# Should be set to an offsite "emailaddress@some.domain.tld"
## (Make sure you can receive the logcheck e-mails. Testing is strongly
recommended)
SENDMAILTO="root"
 
# Controls if syslog-summary is run over each section.
# Alternatively, set to "1" to enable extra summary.
# HINT: syslog-summary needs to be installed.
## (If you get a lot of similar messages in the logs, you
may want to install app-admin/syslog-summary and enable
this setting)
SYSLOGSUMMARY=0

Meg kell adni a logcheck számára, hogy mely naplófájlokat vizsgálja (/etc/logcheck/logcheck.logfiles.d). További fájlok adhatók a /etc/logcheck/logcheck.logfiles.d könyvtárba, amelyek mindegyike tartalmazza az ellenőrizendő naplófájlok listáját. A telepítési szkript két fájlt hoz létre: journal.logfiles és syslog.logfiles.

FILE /etc/logcheck/logcheck.logfiles.d/syslog.logfilesAlapbeállítás
## (This is an example for syslog-ng)
## Log entries in the logs listed below will be checked by logcheck
 
# The default is to check standard syslog files
# created by rsyslog or other syslog daemons
 
# (If the system does not use a syslog daemon, these
# lines can be commented out)
#/var/log/syslog
#/var/log/auth.log
/var/log/messages

Időközönkénti naplóellenőrzés engedélyezése

Végül engedélyezze a naplófájlok időszakos ellenőrzését.

Cron felhasználók

Ha az emerge segítségével a logcheck szoftver úgy lett létrehozva, hogy előtte a cron jelölőzászló engedélyezve lett, akkor képes olvasni az /etc/cron.hourly/logcheck.cron fájlt.

FILE /etc/cron.hourly/logcheck.cronAlap /etc/cron.hourly/logcheck.cron
#!/bin/sh
#
# To enable sync via cron, execute "sudo -u logcheck touch /etc/logcheck/cron-logcheck-enabled"
if [[ ! -f /etc/logcheck/cron-logcheck-enabled ]]; then
    exit
fi
if [ ! -d /var/lock/logcheck ]; then
    mkdir -p /var/lock/logcheck
    chown logcheck:logcheck /var/lock/logcheck
fi
sudo -u logcheck nice -n10 /usr/sbin/logcheck

Óránkénti cron feladat engedélyezésének az érdekében futtassa a következő parancsot:

root #sudo -u logcheck touch /etc/logcheck/cron-logcheck-enabled
Note
További információért a cronról olvassa el a Cron útmutatót.

Systemd felhasználók

Ha a logcheck systemd USE jelölőzászlóval került telepítésre, akkor egy logcheck.timer aktiválható az alábbi parancs futtatásával:

root #systemctl enable --now logcheck.timer

Mostantól a felhasználó rendszeresen kap fontos naplóüzeneteket e-mailben. Egy példaüzenet így néz ki:

CODE Példa logcheck üzenet
System Events
=-=-=-=-=-=-=
Feb 10 17:13:53 localhost kernel: [30233.238342] conftest[25838]: segfault at 40 ip 40061403 sp bfc443c4 error 4
in libc-2.10.1.so[4003e000+142000]
Feb 11 12:31:21 localhost postfix/pickup[18704]: fatal: could not find any active network interfaces
Feb 11 12:31:22 localhost postfix/master[3776]: warning: process //usr/lib/postfix/pickup pid 18704 exit status 1
Feb 11 12:31:22 localhost postfix/master[3776]: warning: //usr/lib/postfix/pickup: bad command startup -- throttling

Hibaelhárítás

Általános tanácsok

Több hibakeresési információ megjelenítéséhez a logcheck -d kapcsolója használható. Példa:

root #su -s /bin/bash -c '/usr/sbin/logcheck -d' logcheck
D: [1281318818] Turning debug mode on
D: [1281318818] Sourcing - /etc/logcheck/logcheck.conf
D: [1281318818] Finished getopts c:dhH:l:L:m:opr:RsS:tTuvw
D: [1281318818] Trying to get lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318818] Running lockfile-touch /var/lock/logcheck/logcheck.lock
D: [1281318818] cleanrules: /etc/logcheck/cracking.d/kernel
...
D: [1281318818] cleanrules: /etc/logcheck/violations.d/su
D: [1281318818] cleanrules: /etc/logcheck/violations.d/sudo
...
D: [1281318825] logoutput called with file: /var/log/messages
D: [1281318825] Running /usr/sbin/logtail2 on /var/log/messages
D: [1281318825] Sorting logs
D: [1281318825] Setting the Intro
D: [1281318825] Checking for security alerts
D: [1281318825] greplogoutput: kernel
...
D: [1281318825] greplogoutput: returning 1
D: [1281318825] Checking for security events
...
D: [1281318825] greplogoutput: su
D: [1281318825] greplogoutput: Entries in checked
D: [1281318825] cleanchecked - file: /tmp/logcheck.uIFLqU/violations-ignore/logcheck-su
D: [1281318825] report: cat'ing - Security Events for su
...
D: [1281318835] report: cat'ing - System Events
D: [1281318835] Setting the footer text
D: [1281318835] Sending report: 'localhost 2010-08-09 03:53 Security Events' to root
D: [1281318835] cleanup: Killing lockfile-touch - 17979
D: [1281318835] cleanup: Removing lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318835] cleanup: Removing - /tmp/logcheck.uIFLqU

This page is based on a document formerly found on our main website gentoo.org.
The following people contributed to the original document: phajdan.jr, nightmorph
They are listed here because wiki history does not allow for any external attribution. If you edit the wiki article, please do not add yourself here; your contributions are recorded on each article's associated history page.

Retrieved from "https://wiki.gentoo.org/index.php?title=Logcheck/hu&oldid=1363282"