Linux日志文件维护

今天早上,我发现我的networking服务器是暴力风格攻击的主题。 当我随机检查我的/var/log/auth.log文件并看到传入的请求时,我只发现了这一点。 有没有人有任何build议,我应该在我的Apache Web服务器上读取日志文件? 与此同时,这是值得给自己发送日志来阅读我的闲暇时间,如果是这样的话,最简单的方法是什么?

像OSSEC这样的工具确实可以帮助你在发生这些事情的时候抓住这些东西,而不是在第二天发现它们。

除此之外,我还是继续使用logwatch来为我的邮件客户端快速search存档摘要。

Logwatch将扫描并邮寄日志的详细信息。 对于归档目的非常有用,甚至需要查看旧的状态。 较大的生产机器往往需要一些过滤输出。

另外,安装拒绝主机或类似的阻止尝试。

只要使用logcheck或logwatch(我更喜欢logcheck,我自己)来过滤所有你不想看到的东西,然后其余的就会通过电子邮件发送给你。 大量使用,应该在每台服务器上运行。

检查/etc/aliases的底部并在底部添加您的电子邮件地址:

  Person who should get root's mail root: [email protected] 

确保sendmail或postfix正在工作,所以你实际上得到的电子邮件。

根据您要监视的盒子数量,您可能需要查看一个集中的日志监视系统。 我个人使用它,即使是小型部署,只是因为它更便捷地让我所有的日志(不仅仅是apache)能够集中访问和search。

像Splunk这样的工具使得使用起来非常简单而且非常愉快。