Answers:
感兴趣的日志:
我使用logwatch包监视SMTP流量和SSH登录以及身份验证尝试。大多数Linux发行版都可以使用它,默认情况下包括Ubuntu。
aptitude install logwatch
过去,我还使用过logurfer +,它是一个复杂的软件,但可高度配置。
如果这些工具(logwatch,logsurfer +)都不能满足您的需求,则有来自各种供应商的大量日志管理解决方案。从软件包到专用设备。如果您想进行其他研究,这里有一些入门。我与这些公司或产品均无关。
我建议使用OSSEC监视您的日志。默认情况下,它将自动检测重要日志文件并实时监视所有日志文件。
如果您使用的是Ubuntu,它将查看所有身份验证日志,apache日志,apt-get日志(以查看何时安装新应用程序)等。
它是开源的,拥有活跃的开发团队并且易于使用。我们从logwatch迁移到它,因为它实时查看日志,而不是像log watch那样每隔X个小时执行一次。
我通常看上面的文件,但主要是syslog文件(/ var / log / messages)。我通常将syslog-ng设置为提供更好的过滤,并且将syslog设置为以* .debug记录,以便可以看到所有内容。这一切都由shell脚本读取,该脚本的根源为logcheck.sh(对不起,丢失了链接),每天向我发送有趣的邮件。这会增加噪声的数量,很难过滤掉,但是我也将噪声级别用作健康检查-如果噪声级别突然增加或减少,则说明某些情况已发生变化。
我有一个关于logwatch的警告,那就是要寻找的“内容”。我编写/使用了一个名为petit的工具来执行单词发现和关联。它使用自然语言处理中的几种简单技术来删除停用词。这有助于负责日志分析的管理员/分析人员更加自信自己确实正在使用logwatch捕获他/她想要处理的所有事件。
这是一个基本的鸡肉/鸡蛋问题,在我之前从未知道过该如何寻找。petit的单词发现模式对此有所帮助。它还提供cli图形和哈希。