對於擁有大量賬戶、系統繁忙的Linux系統而言,其日志文件是極其龐大的,很多沒有用的信息會將值得注意的信息淹沒,給用戶分析日志帶來了很大的不便。現在有一些專門用於分析日志的工具,如Logcheck和Friends。
Logcheck用來分析龐大的日志文件,過濾出有潛在安全風險或其他不正常情況的日志項目,然後以電子郵件的形式通知指定的用戶。它是由Psionic開發的,可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下載。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。
該程序的安裝相當方便。解壓後運行make文件,按照它的提示選擇操作系統的類型以後就能編譯完成了。配置文件和運行腳本默認安裝在/usr/local/etc/下。
logcheck.sh
這是Logcheck的shell腳本,用於分析本次的日志文件並匯報結果。
logcheck.hacking
這個文件設置在日志文件中過濾的關鍵字,該關鍵字提示了潛在安全風險的信息。用戶可以定制自己的日志文件,在logcheck.hacking文件中增加或刪除關鍵字。
logcheck.violations
這個文件設置在日志文件分析過濾系統運行時出現異常情況的關鍵字。
logcheck.violations.ignore
如果系統出現異常情況,但含有此文件中的關鍵字,則視為正常,不寫入Logcheck的分析報告文件中。
logcheck.ignore
如果系統日志文件記錄了可能遭遇攻擊的消息,但含有logcheck.ignore文件中的關鍵字,則Logcheck視為正常,在分析報告文件中不包含這些消息。
安裝完Logcheck後,還要修改logcheck.sh文件中的參數以符合用戶的要求。有兩點值得注意。下列命令:
# Person to send log activity to.SYSADMIN=root
Logcheck默認將報告發給root。如果要發給指定的電子郵箱,改動這裡就可以了。如果希望將報告發給多個用戶,可以定義mail的別名。要檢查的日志文件的設置:
# Linux$LOGTAIL /var/log/syslog > $TMPDIR/check.$ $LOGTAIL /var/log/messages >> $TMPDIR/check.$用戶可以根據需要加上要檢查的日志文件例如:$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$LOGTAIL /var/log/mail.log >> $TMPDIR/check.$