Quais registros rastrear regularmente

Eu corro meu próprio servidor em casa para o meu site pessoal executando o Ubuntu Server com Apache, Bind9 e Django. Quais logs você sugere que são melhores para acompanhar regularmente? (em vez de ler quando algo dá errado). Estou pensando em detectar tentativas de invasão (eu já experimentei erros SSH) e tráfego ou erros incomuns no meu site.

Logs de interesse:

• / var / log / apache2 / * - logs do apache2 :)
• /var/log/auth.log - tentativas de autenticação
• /var/log/daemon.log - processos do sistema registram aqui
• / var / log / syslog - tudo é registrado aqui

Eu uso o pacote logwatch para monitorar o tráfego SMTP e logins SSH e tentativas de autenticação. Está disponível na maioria das distribuições Linux, incluindo o Ubuntu por padrão.

aptitude install logwatch

No passado, também usei o logsurfer +, que é um software complicado, mas altamente configurável.

Se nenhuma dessas ferramentas (logwatch, logsurfer +) atender às suas necessidades, existe um grande número de soluções de gerenciamento de logs de vários fornecedores. De pacotes de software a dispositivos dedicados. Aqui estão alguns para começar, se você quiser fazer pesquisas adicionais. Eu não sou afiliado a nenhuma dessas empresas ou produtos.

• Splunk
• ArcSight
• AlertLogic
• O Instituto SANS possui muitos recursos adicionais

Sugiro usar o OSSEC para monitorar seus logs. Ele detecta automaticamente os arquivos de log importantes e monitora todos eles em tempo real por padrão.

Se você estiver usando o Ubuntu, ele examinará todos os logs de autenticação, logs do apache, logs do apt-get (para ver quando novos aplicativos são instalados) etc.

É de código aberto, possui uma equipe de desenvolvimento ativa e é simples de usar. Nós migramos para ele do logwatch, porque ele analisa os logs em tempo real, em vez de fazer isso a cada X horas, como faz o log watch.

Link: http://www.ossec.net

Geralmente, assisto os arquivos acima, mas principalmente os arquivos syslog (/ var / log / messages). Normalmente, configuro o syslog-ng para fornecer uma filtragem melhor e o syslog para registrar como * .debug, para que eu possa ver tudo. Tudo isso é lido por um script de shell que tem suas raízes no logcheck.sh (desculpe, perdi o link) e me envia itens interessantes diariamente. Isso tem uma quantidade aumentada de ruído que é difícil de filtrar, mas eu também uso o nível de ruído como uma verificação de saúde - se o nível de ruído aumentar ou diminuir repentinamente, algo mudou.

Eu tenho uma ressalva sobre o logwatch e é isso "o que" procurar. Escrevi / usei uma ferramenta chamada petit para realizar a descoberta e correlação de palavras. Ele usa algumas técnicas simples do Natural Language Processing para remover palavras irrelevantes. Isso ajuda um administrador / analista responsável pela análise de logs a se sentir mais confiante de que está realmente capturando todos os eventos que deseja com o logwatch.

É um problema básico de galinha / ovo de como sei o que preciso procurar até que eu o tenha visto antes. O modo de descoberta de palavras petit ajuda nisso. Também fornece gráficos e hash de cli.

Link: http://opensource.eyemg.com/Petit