我想调用发送一个电子邮件(或运行一个特定的脚本,如果这是可能的),当一个iptables的DROP规则正在运行。 (例如,当我在5次SSHlogin失败后阻塞IP时,我想运行mail -s "SSH Blocked" [email protected]或类似的东西。有没有办法直接让iptables执行这个?
如果没有,那么我想我需要用外部工具扫描日志,然后发送电子邮件。 任何推荐的工具呢? 请注意,我正在使用systemd所以我正在使用journalctl而不是老式的日志文件。
我已经用了5年时间向系统pipe理员发出这种types(以及许多其他事件)的警告,是由趋势科技出资的ossec hids( http://www.ossec.net )。
Ossec通过实时扫描日志来进行阻止和警报。 您可以将其安装在本地计算机上或其他服务器上。 它可以作为一个中央系统日志服务器。 大多数function可以根据您的需求量身定制。 对于日志聚合和检测(在PCI环境中需要),我还没有发现许多超越Ossec提供的其他应用程序。