Pull to refresh

Укрощаем logcheck

Сегодня поговорим о logcheck — пакете, который, периодически просматривает логи на предмет аномальных записей (попытки взлома, демон стал плохо себя вести и т.д.), и при их обнаружении уведомляет администратора по почте.

По сути это обыкновенный баш-скрипт, с которым поставляется база регулярок на «плохие» и «хорошие» записи.

Для Ubuntu и Debian пакет есть в репозиториях, с CentOS пришлось немного поплясать с бубном. Кто тоже хочет поплясать — вот (солидарен с автором: «One answer to solve a lot of Problems with CentOS is: switch to Debian ;-)»).

По-умолчанию настройки ставятся в /etc/logcheck. Пока нас интересует только logcheck.conf. В SENDMAILTO ставим свой адрес, а в REPORTLEVEL один из трёх уровней: workstation, server или paranoid. Отличает их то, как применяются регулярные выражения для игнорирования записей лога. Там же есть папки ignore.d.paranoid, ignore.d.server и ignore.d.workstation. В каждой из них находятся файлы со списком egrep-совместимых регулярок. Это разработчики заботливо сгруппировали регулярки по названиям сервисов.

Если в конфиге мы выбираем paranoid, к каждой строке лога применяются регулярки из папки ignore.d.paranoid, если server — из ignore.d.server и ignore.d.paranoid. Ну а для workstation из всех трёх. Наверняка, в большинстве случаев, подойдёт server. Вот, собственно и всё. Если всё настроено верно, в скором времени вы получите первый отчет.

Хоть пакет и включает в себя довольно большую базу безопасных правил, всё равно найдутся сервисы, которые начнут заваливать ящик бесполезными сообщениями, вроде:

Mar 24 18:04:39 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:04:39 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:16:24 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:16:24 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:29:54 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:29:54 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:41:30 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:41:30 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:55:48 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:55:48 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8


Это виртуальная машина под vmware общается с dhcp своей хост-машины. Ничего здесь криминального нет, и хотелось бы убрать из отчётов эти строки. Так как уровень паранойи у меня выставлен «server», идём в папку /etc/logcheck/ignore.d.server, создаём там файлик vmnet_dhcpd и вписываем в него, например, такое:

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ vmnet-dhcpd: .*$

То есть я совсем запретил кормить меня сообщениями от vmnet-dhcpd.

Вуаля, теперь ощущаем ещё больший контроль над сервером и не тратим время на просмотр всякого мусора.
Tags:
Hubs:
You can’t comment this publication because its author is not yet a full member of the community. You will be able to contact the author only after he or she has been invited by someone in the community. Until then, author’s username will be hidden by an alias.