自从几个星期以来,我pipe理我的第一个Web服务器,一个在Linode上的Apache代理背后的Seaside应用程序,并且我安装了logwatch来发送每日日志。
我在哪里可以得到有关什么时候必须采取行动的信息?
例如,我读了各种各样的人尝试login在有趣的不存在的帐户或各种webcrawlerstesting非现有的cmslogin页面,一些ip地址被禁止和unsbanned fail2ban …
我认为这是正常的? 是吗? 但是,我怎么知道我可能要做点什么呢? 我在日志中寻找什么?
你必须学习你的日志,并认识他们。 即使你不明白某些特定信息的确切含义。 但是,当你突然看到一些乱七八糟的东西时,你会知道你有一些问题。 这很明显,如果你听说你的HD开始发出一些你从来没有听过的奇怪的声音,那么即使你不知道为什么它听起来有什么错误,对吧? 与日志相同。
被黑客攻击的后果可能是非常痛苦的。 试想一下,您的VPS将涉及到一个黑客金融机构的复杂计划。 你已经租用了这个虚拟实体,你完全可以控制。 因此你完全负责任。
生活就是生活…
即时的想法是使用日志分析器,如免费版Splunk。 手动阅读日志是一种很好的学习方式,但是需要时间,并通过忽略事情来增加人为错误的可能性。 日志分析器可以成为帮助增加知识的拐杖。
这是免费版本的限制,但可以快速显示什么是可能的,如果这样的function是要追求的东西。 要将日志logging到Splunk,
另一个开源选项是syslong-NG: