Jako správci systému musíme mít vždy ty nejlepší nástroje a aplikace, které nám umožní provádět úkoly monitorování a dohledu mnohem komplexnějším způsobem, to znamená nejen získávat povrchní, ale úplná data o každé akci, ke které dochází jak na úrovni interní, tak externí v rámci operačního systému.
Jedním z nejlepších způsobů přístupu k těmto informacím je prostřednictvím protokolů nebo záznamů událostí, ve kterých je uloženo více dat, například:
- Spouštění, restartování a vypínání systému je úspěšné i neúspěšné
- Přístup k aplikacím a programům
- Bezpečnostní akce
- Protokoly příchozích a odchozích připojení a mnoho dalšího.
Jednou z nejlepších možností přístupu k monitorování těchto protokolů je Swatchdog, a proto v Solveticu vysvětlíme, jak jej nainstalovat a používat v Linuxu.
Co je SwatchdogSwatchdog je jednoduchý skript založený na jazyce Perl, který byl vyvinut pro sledování aktivních souborů protokolu v unixových systémech, jako je Linux.
Swatchdog je schopen sledovat téměř jakýkoli typ protokolů v Linuxu a tyto protokoly jsou vytvářeny funkcí unixového syslogu a protokoly bude možné vidět na základě regulárních výrazů, které můžeme definovat v konfiguračním souboru obslužného programu.
1. Jak nainstalovat Swatchdog na Linux
V tomto případě použijeme Ubuntu 18.04, balíček swatchdog je k dispozici pro instalaci z oficiálních repozitářů každé z hlavních distribucí Linuxu jako balíček „swatch“ prostřednictvím správce balíčků, pro jeho instalaci můžeme na základě distribuce provést následující použitý:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
ZVĚTŠIT
Stisknutím klávesy S potvrdíte stažení a instalaci Swatchdog.
Pokud chceme nainstalovat nejnovější verzi Swatchdog, musí být zkompilována ze zdroje pomocí následujících příkazů na všech distribucích Linuxu:
git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog/perl Makefile.PL make sudo make install sudo make realcleanS těmito příkazy to budete mít připravené.
2. Jak nastavit Swatchdog v Linuxu
Jakmile bude proces instalace Swatchdog dokončen, bude nutné vytvořit konfigurační soubor, jeho výchozí umístění je /home/$USER/.swatchdogrc nebo .swatchrc, aby bylo možné určit, jaké typy výrazových vzorů se používají. hledat a jaký druh akce by měl být proveden při kombinování vzoru.
Krok 1
K vytvoření tohoto souboru použijeme jednu z následujících možností:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
ZVĚTŠIT
PoznámkaPole Solvetic musí nahradit příslušný uživatel.
Nyní do tohoto souboru přidáme regulární výraz a každý řádek musí obsahovat klíčové slovo a hodnotu oddělenou mezerou nebo znaménkem rovnosti (=), bude nutné určit vzor a akci, která se má v případě provést že vzor.
K souboru přistupujeme pomocí požadovaného editoru:
sudo nano swatchdogrcKrok 2
Tam vložíme jako příklad následující:
watchfor / sudo / echo red [email protected], subject = "Sudo Action"
ZVĚTŠIT
Změny uložíme pomocí kláves:
Ctrl + O
a opustíme editor pomocí:
Ctrl + X
Krok 3
V tomto případě je regulárním výrazem doslovný řetězec nazvaný "sudo", což znamená, že pokaždé, když je v souboru protokolu spuštěn řetězec sudo, vytiskne na terminál červený text a akce bude zadána do e -mailu. byly provedeny, takže budeme mít neustálé informace o provedených akcích.
Po konfiguraci swatchdog ve výchozím nastavení přečte soubor protokolu / var / log / syslog, a pokud tento soubor neexistuje, bude číst / var / log / zprávy.
Ke čtení registrů provedeme následující:
swatch (RHEL / CentOS a Fedora) swatchdog (Ubuntu / Debian)
ZVĚTŠIT
Krok 4
Bude také možné označit jiný konfigurační soubor pomocí parametru -c, proto nejprve vytvoříme soubor následujícím způsobem:
mkdir vzorník dotykový vzorník / secure.confKrok 5
Po vytvoření přidáme do souboru následující konfiguraci, abychom mohli sledovat neúspěšné pokusy o přihlášení, neúspěšné pokusy o přihlášení SSH, úspěšné přihlášení SSH v zabezpečeném souboru / var / log / log.
watchfor / FAILED / echo red [email protected], subject = "Pokus o přístup se nezdařil" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Root access successful" watchfor /ssh.*: Failed heslo / echo červená pošta = [email protected], předmět = "Neúspěšný pokus o připojení SSH" watchfor /ssh.*: relace otevřená pro uživatele root / echo červená pošta = [email protected], předmět = "SSH Root přístupové právo"
ZVĚTŠIT
Krok 6
Změny uložíme pomocí kláves Ctrl + O a editor ukončíme pomocí Ctrl + X.
Nyní spustíme Swatch s uvedením konfiguračního souboru vytvořeného pomocí souboru -c a protokolu pomocí příznaku -t takto:
swatchdog -c ~ / swatch / secure.conf -t / var / log / secureKrok 7
Tímto způsobem, jak jsou záznamy zaznamenávány, budou zobrazeny ve výsledcích Swatchdog.
Kromě toho můžeme vytvořit další soubory pro monitorování, jako například:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemonNěkteré další možnosti použití jsou:
--awk-syntaxe poleTuto možnost lze použít pouze v případě, že chcete přepsat backend regexu ve prospěch odkazu na pole ve stylu awk
-config -file | -c název_souboruŘíká swatchdog, kde najít konfigurační soubor
--démonŘíká swatchdog, aby běžel na pozadí a odpojil se od jakéhokoli terminálu
-extra -module | -M název_moduluŘekněte swatchdogu, které moduly vlastní akce načíst.
Díky tomuto nástroji tedy bude možné udržovat přesnější kontrolu nad událostmi v Linuxu.
