Hoe Swatchdog te gebruiken om logboeken op Linux te controleren

Hoe Swatchdog te gebruiken om logboeken op Linux te controleren | Linux / Unix 2024
Hoe Swatchdog te gebruiken om logboeken op Linux te controleren | Linux / Unix 2024

Als systeembeheerders moeten we altijd de beste tools en applicaties hebben waarmee we monitoring- en supervisietaken op een veel uitgebreidere manier kunnen uitvoeren, dat wil zeggen niet alleen oppervlakkige maar volledige gegevens verkrijgen over elke actie die zowel op het interne als op het interne niveau plaatsvindt. extern binnen het besturingssysteem.

Een van de beste manieren om toegang te krijgen tot deze informatie is via logboeken of gebeurtenisrecords waarin meerdere gegevens zijn opgeslagen, zoals:

  • Opstarten, herstarten en afsluiten van het systeem zowel succesvol als niet succesvol
  • Toegang tot applicaties en programma's
  • Beveiligingsgebeurtenissen
  • Inkomende en uitgaande verbindingslogboeken en nog veel meer.

Een van de beste opties om toegang te krijgen tot het monitoren van deze logs is Swatchdog en daarom zullen we in Solvetic uitleggen hoe het te installeren en te gebruiken in Linux.

Wat is SwatchdogSwatchdog is een eenvoudig op Perl gebaseerd script dat is ontwikkeld om actieve logbestanden op Unix-achtige systemen zoals Linux te controleren.

Swatchdog kan bijna elk type logboek op Linux controleren en deze logboeken worden geproduceerd door de Unix syslog-functie en het zal mogelijk zijn om logboeken te zien op basis van reguliere expressies die we kunnen definiëren in het configuratiebestand van het hulpprogramma.

1. Hoe Swatchdog op Linux te installeren


Voor dit geval zullen we Ubuntu 18.04 gebruiken, het swatchdog-pakket is beschikbaar voor installatie vanuit de officiële repositories van elk van de belangrijkste Linux-distributies als een "swatch" -pakket via een pakketbeheerder, voor de installatie ervan kunnen we het volgende uitvoeren op basis van de distributie gebruikt: 
 sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)

VERGROTEN

Druk op de S-toets om het downloaden en installeren van Swatchdog te bevestigen.

Als we de nieuwste versie van Swatchdog willen installeren, moet deze vanaf de broncode worden gecompileerd met behulp van de volgende opdrachten op alle Linux-distributies: 

 git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realclean
Met die commando's heb je het klaar.

2. Hoe Swatchdog op Linux in te stellen


Nadat het Swatchdog-installatieproces is voltooid, moet het configuratiebestand worden gemaakt, de standaardlocatie is /home/$USER/.swatchdogrc of .swatchrc, dit om te bepalen welke typen expressiepatronen worden gebruikt. gaan zoeken en wat voor soort actie moet worden uitgevoerd bij het combineren van een patroon.

Stap 1
Om dit bestand te maken, gebruiken we een van de volgende opties: 

 sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc

VERGROTEN

OpmerkingHet veld Solvetic moet door de betreffende gebruiker worden vervangen.

Nu gaan we een reguliere expressie in dit bestand toevoegen en elke regel moet een sleutelwoord en een waarde bevatten, gescheiden door een spatie of een gelijkteken (=), het zal nodig zijn om een ​​patroon en een actie op te geven in het geval dat een patroon.

We openen het bestand met de gewenste editor: 

 sudo nano swatchdogrc
Stap 2
Daar plakken we, als voorbeeld, het volgende: 
 watchfor / sudo / echo red [email protected], subject = "Sudo Action"

VERGROTEN

We slaan de wijzigingen op met behulp van de toetsen:

Ctrl + O

en we verlaten de editor met:

Ctrl + X

Stap 3
In dit voorbeeld is de reguliere expressie een letterlijke tekenreeks genaamd "sudo", wat betekent dat elke keer dat de sudo-tekenreeks in het logbestand wordt uitgevoerd, deze rode tekst naar de terminal zal afdrukken en de actie naar de e-mail wordt gespecificeerd. uitgevoerd, zodat we constant informatie hebben over de uitgevoerde acties.

Na de configuratie leest swatchdog standaard het logbestand / var / log / syslog en als dit bestand niet aanwezig is, leest het / var / log / berichten.

We voeren het volgende uit om de registers te lezen: 

 staal (RHEL / CentOS en Fedora) swatchdog (Ubuntu / Debian)

VERGROTEN

Stap 4
Het zal ook mogelijk zijn om een ​​ander configuratiebestand aan te geven met behulp van de -c parameter, hiervoor zullen we eerst een bestand als volgt aanmaken: 

 mkdir staal touch swatch / secure.conf
Stap 5
Eenmaal gemaakt, gaan we de volgende configuratie aan het bestand toevoegen om mislukte inlogpogingen, mislukte SSH-inlogpogingen, succesvolle SSH-logins in het / var / log / log-bestand secure te controleren. 
 watchfor / FAILED / echo red [email protected], subject = "Toegangspoging mislukt" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Roottoegang succesvol" watchfor /ssh.*: Mislukt wachtwoord / echo red mail = [email protected], subject = "Mislukte SSH-verbindingspoging" watchfor /ssh.*: sessie geopend voor gebruiker root / echo red mail = [email protected], subject = "SSH Root-toegangsrechten"

VERGROTEN

Stap 6
We slaan de wijzigingen op met de toetsen Ctrl + O en verlaten de editor met Ctrl + X.
Nu gaan we Swatch uitvoeren en het configuratiebestand specificeren dat is gemaakt met behulp van het -c-bestand en het logboek met de -t-vlag als volgt: 

 swatchdog -c ~ / swatch / secure.conf -t / var / log / secure
Stap 7
Op deze manier worden items die worden geregistreerd, weergegeven in de Swatchdog-resultaten.
Daarnaast kunnen we andere bestanden maken voor monitoring, zoals: 
 swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemon
Enkele extra gebruiksopties zijn:

--awk-field-syntaxisDeze optie kan alleen worden gebruikt als u de regex-backend wilt overschrijven ten gunste van de veldreferentie in awk-stijl
-config-bestand | -c bestandsnaamVertelt swatchdog waar het configuratiebestand te vinden is
--demonVertelt swatchdog om op de achtergrond te draaien en los te koppelen van elke terminal
-extra-module | -M module_naamVertel swatchdog welke aangepaste actiemodules moeten worden geladen.

Het zal dus mogelijk zijn om een ​​nauwkeurigere controle te houden over gebeurtenissen in Linux dankzij dit hulpprogramma.

wave wave wave wave wave

Populaire Berichten

wave
1
post-title
▷ Activeer PS5 als hoofd
2
post-title
Paginabestand (Pagefile) verwijderen bij afsluiten Windows 10
3
post-title
Hoe Xiaomi Redmi Note 6 Pro uit te schakelen of opnieuw op te starten
4
post-title
Installeer of verwijder Go Ubuntu 21.04, 20.04
5
post-title
Voorkom dat Windows 10 op laptop start bij het openen van het schermdeksel

Aanbevolen

wave
- Sponsored Ad -

Editor'S Choice

wave
- Sponsored Ad -