So verwenden Sie Swatchdog zum Überwachen von Protokollen unter Linux

Als Systemadministratoren müssen wir immer über die besten Tools und Anwendungen verfügen, die es uns ermöglichen, Überwachungs- und Überwachungsaufgaben viel umfassender auszuführen, dh nicht nur oberflächliche, sondern vollständige Daten zu jeder Aktion zu erhalten, die sowohl auf der internen als auch auf der Ebene stattfindet extern innerhalb des Betriebssystems.

Eine der besten Möglichkeiten, auf diese Informationen zuzugreifen, sind Protokolle oder Ereignisaufzeichnungen, in denen mehrere Daten gespeichert sind, wie z.

  • Systemstarts, Neustarts und Herunterfahren sowohl erfolgreich als auch nicht erfolgreich
  • Zugriff auf Anwendungen und Programme
  • Sicherheitsereignisse
  • Ein- und ausgehende Verbindungsprotokolle und vieles mehr.

Eine der besten Optionen, um auf die Überwachung dieser Protokolle zuzugreifen, ist Swatchdog. Daher erklären wir in Solvetic, wie man es unter Linux installiert und verwendet.

Was ist Swatchdog?Swatchdog ist ein einfaches Perl-basiertes Skript, das entwickelt wurde, um aktive Protokolldateien auf Unix-ähnlichen Systemen wie Linux zu überwachen.

Swatchdog ist in der Lage, fast alle Arten von Protokollen unter Linux zu überwachen. Diese Protokolle werden von der Unix-Syslog-Funktion erstellt und es wird möglich sein, Protokolle basierend auf regulären Ausdrücken anzuzeigen, die wir in der Konfigurationsdatei des Dienstprogramms definieren können.

1. So installieren Sie Swatchdog unter Linux


Für diesen Fall verwenden wir Ubuntu 18.04, das swatchdog-Paket steht zur Installation aus den offiziellen Repositorys jeder der wichtigsten Linux-Distributionen als "swatch" -Paket über einen Paketmanager zur Verfügung. Für seine Installation können wir basierend auf der Distribution Folgendes ausführen Gebraucht:
 sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)

VERGRÖSSERN

Drücken Sie die S-Taste, um den Download und die Installation von Swatchdog zu bestätigen.

Wenn wir die neueste Version von Swatchdog installieren möchten, muss sie mit den folgenden Befehlen auf allen Linux-Distributionen aus dem Quellcode kompiliert werden:

 git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realclean
Mit diesen Befehlen haben Sie es fertig.

2. So richten Sie Swatchdog unter Linux ein


Sobald der Installationsprozess von Swatchdog abgeschlossen ist, muss die Konfigurationsdatei erstellt werden, deren Standardspeicherort /home/$USER/.swatchdogrc oder .swatchrc ist, um festzustellen, welche Arten von Ausdrucksmustern verwendet werden suchen und welche Aktion beim Kombinieren eines Musters ausgeführt werden soll.

Schritt 1
Um diese Datei zu erstellen, verwenden wir eine der folgenden Optionen:

 sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc

VERGRÖSSERN

NotizDas Solvetic-Feld muss vom jeweiligen Benutzer ersetzt werden.

Jetzt fügen wir dieser Datei einen regulären Ausdruck hinzu und jede Zeile muss ein Schlüsselwort und einen Wert enthalten, die durch ein Leerzeichen oder ein Gleichheitszeichen (=) getrennt sind dass ein Muster.

Wir greifen auf die Datei mit dem gewünschten Editor zu:

 sudo nano swatchdogrc
Schritt 2
Dort fügen wir als Beispiel Folgendes ein:
 watchfor / sudo / echo red [email protected], subject = "Sudo-Aktion"

VERGRÖSSERN

Wir speichern die Änderungen mit den Tasten:

Strg + Aus

und wir verlassen den Editor mit:

Strg + X

Schritt 3
In diesem Beispiel ist der reguläre Ausdruck ein Literal-String namens "sudo", was bedeutet, dass jedes Mal, wenn der sudo-String in der Protokolldatei ausgeführt wird, roter Text auf dem Terminal ausgegeben wird und die Aktion in der E-Mail angegeben wird ausgeführt wurden, sodass wir ständig über die durchgeführten Aktionen informiert sind.

Nach seiner Konfiguration liest swatchdog standardmäßig die Log-Datei /var/log/syslog, und wenn diese Datei nicht vorhanden ist, liest es /var/log/messages.

Wir führen Folgendes aus, um die Register zu lesen:

 swatch (RHEL / CentOS und Fedora) swatchdog (Ubuntu / Debian)

VERGRÖSSERN

Schritt 4
Es wird auch möglich sein, mit dem Parameter -c eine andere Konfigurationsdatei anzugeben, dazu erstellen wir zunächst eine Datei wie folgt:

 mkdir swatch touch swatch / secure.conf
Schritt 5
Nach der Erstellung fügen wir der Datei die folgende Konfiguration hinzu, um fehlgeschlagene Anmeldeversuche, fehlgeschlagene SSH-Anmeldeversuche und erfolgreiche SSH-Anmeldungen in der /var/log/log-Datei sicher zu überwachen.
 watchfor / FAILED / echo red [email protected], subject = "Zugriffsversuch fehlgeschlagen" watchfor / ROOT LOGIN / echo red mail [email protected], subject = "Root-Zugriff erfolgreich" watchfor /ssh.*: Fehlgeschlagen password / echo red mail = [email protected], subject = "Fehler bei SSH-Verbindungsversuch" watchfor /ssh.*: Sitzung für Benutzer root geöffnet / echo red mail [email protected], subject = "SSH Root access Right"

VERGRÖSSERN

Schritt 6
Wir speichern die Änderungen mit den Tasten Strg + O und verlassen den Editor mit Strg + X.
Jetzt führen wir Swatch aus und geben die mit der Datei -c erstellte Konfigurationsdatei und das Protokoll mit dem Flag -t wie folgt an:

 swatchdog -c ~ /swatch / secure.conf -t / var / log / secure
Schritt 7
Auf diese Weise werden Einträge, die erfasst werden, in den Swatchdog-Ergebnissen angezeigt.
Darüber hinaus können wir andere Dateien für die Überwachung erstellen, wie zum Beispiel:
 swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ /messages_watch_config -t / var / log /messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemon
Einige zusätzliche Nutzungsoptionen sind:

--awk-field-syntaxDiese Option kann nur verwendet werden, wenn Sie das Regex-Backend zugunsten der Feldreferenz im awk-Stil überschreiben möchten
-config-Datei | -c DateinameSagt swatchdog, wo die Konfigurationsdatei zu finden ist
--dämonWeist swatchdog an, im Hintergrund zu laufen und sich von jedem Terminal zu trennen
-extra-modul | -M ModulnameTeilen Sie swatchdog mit, welche benutzerdefinierten Aktionsmodule geladen werden sollen.

So wird es möglich sein, dank dieses Dienstprogramms eine genauere Kontrolle der Ereignisse in Linux zu behalten.

wave wave wave wave wave