我在家里运行我自己的服务器,为我的个人网站运行Apache服务器,Bind9和Django。 你build议什么日志最好定期跟踪? (而不是在出现错误时阅读的基础上)。 我正在考虑检测入侵企图(我以前遇到过SSH错误)以及我网站上的exceptionstream量或错误。
感兴趣的日志:
我使用logwatch软件包来监视SMTPstream量和SSHlogin以及身份validation尝试。 它可以从大多数Linux发行版中获得,包括默认的Ubuntu。
aptitude install logwatch 在过去,我也使用了logsurfer +这是一个复杂的软件,但高度可configuration。
如果这些工具(logwatch,logsurfer +)都不能满足您的需求,那么来自不同供应商的大量的日志pipe理解决scheme。 从软件包到专用设备。 如果你想做更多的研究,这里有一些开始。 我不隶属于这些公司或产品。
我build议使用OSSEC来监视你的日志。 它会自动检测重要的日志文件,并默认实时监控所有日志文件。
如果您使用的是Ubuntu,它将查看所有authentication日志,apache日志,apt-get日志(查看安装新应用程序的时间)等。
它是开源的,有一个积极的开发团队,使用简单。 我们从logwatch迁移到它,因为它实时查看日志,而不是像log日志那样每X个小时做一次。
链接: http : //www.ossec.net
我通常看上面的文件,但大多是系统日志文件(/ var / log / messages)。 我通常设置syslog-ng来提供一些更好的过滤,并且设置syslog以* .debug的formslogging,以便我可以看到所有的东西。 这一切都是由一个shell脚本读取的,它源于logcheck.sh(对不起,丢失了链接),并每天邮寄给我一些有趣的内容。 噪音的数量越来越难以滤除,但我也将噪音水平作为健康检查 – 如果噪音水平突然增加或减less,情况就会改变。
我有一个关于logwatch的警告,那就是“寻找什么”。 我写/使用了一个叫做petit的工具来执行单词发现和关联。 它使用自然语言处理中的一些简单技术来删除停用词。 这有助于负责日志分析的pipe理员/分析人员更加确信他/她确实能够利用日志logging捕捉他/她想要的所有事件。
这是一个基本的鸡/蛋问题,我怎么知道我需要search什么,直到我看到它之前。 petit这个词发现模式有助于这个。 它也提供了cligraphics和哈希。
链接: http : //opensource.eyemg.com/Petit