Как да използвате Swatchdog за наблюдение на регистрационни файлове в Linux

Като системни администратори винаги трябва да разполагаме с най -добрите инструменти и приложения, които ни позволяват да изпълняваме задачи по наблюдение и надзор по много по -всеобхватен начин, тоест не само да получаваме повърхностни, но и пълни данни за всяко действие, което се случва както на вътрешно ниво, така и на външни в рамките на операционната система.

Един от най -добрите начини за достъп до тази информация е чрез регистрационни файлове или записи на събития, в които се съхраняват множество данни, като например:

  • Стартиране на системата, рестартиране и изключване както успешно, така и неуспешно
  • Достъп до приложения и програми
  • Събития за сигурност
  • Дневници на входящи и изходящи връзки и много други.

Един от най -добрите варианти за достъп до мониторинга на тези регистрационни файлове е Swatchdog и затова в Solvetic ще обясним как да го инсталираме и използваме в Linux.

Какво е SwatchdogSwatchdog е прост скрипт, базиран на Perl, който е разработен за наблюдение на активни регистрационни файлове на Unix-подобни системи като Linux.

Swatchdog е в състояние да наблюдава почти всеки тип регистрационни файлове в Linux и тези регистрационни файлове се произвеждат от Unix syslog функцията и ще бъде възможно да се видят дневници въз основа на регулярни изрази, които можем да дефинираме в конфигурационния файл на помощната програма.

1. Как да инсталирате Swatchdog на Linux


За този случай ще използваме Ubuntu 18.04, пакетът swatchdog е достъпен за инсталиране от официалните хранилища на всяка от основните дистрибуции на Linux като пакет "swatch" чрез мениджър на пакети, за неговото инсталиране можем да изпълним следното въз основа на дистрибуцията използвани:
 sudo apt инсталирайте swatch (Ubuntu / Debian) sudo yum инсталирайте epel-release && sudo yum инсталирайте swatch (RHEL / CentOS) sudo dnf инсталирайте swatch (Fedora 22)

Увеличете

Натиснете клавиша S, за да потвърдите изтеглянето и инсталирането на Swatchdog.

Ако искаме да инсталираме най -новата версия на Swatchdog, тя трябва да бъде компилирана от източника, като се използват следните команди за всички дистрибуции на Linux:

 git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog/perl Makefile.PL направи sudo направи инсталиране sudo направи realclean
С тези команди ще го приготвите.

2. Как да настроите Swatchdog на Linux


След като процесът на инсталиране на Swatchdog приключи, ще бъде необходимо да се създаде конфигурационният файл, местоположението му по подразбиране е /home/$USER/.swatchdogrc или .swatchrc, това, за да се определи какви типове модели на изрази се използват. Те са ще търсим и какъв вид действие трябва да се извърши при комбиниране на модел.

Етап 1
За да създадем този файл, ще използваме една от следните опции:

 sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc

Увеличете

ЗабележкаПолето Solvetic трябва да бъде заменено от съответния потребител.

Сега ще добавим регулярен израз в този файл и всеки ред трябва да съдържа ключова дума и стойност, разделени с интервал или знак за равенство (=), ще е необходимо да се посочат модел и действие, което да се предприеме в събитието че модел.

Достъпваме до файла с помощта на желания редактор:

 sudo nano swatchdogrc
Стъпка 2
Там ще поставим като пример следното:
 watchfor / sudo / echo red [email protected], subject = "Sudo Action"

Увеличете

Запазваме промените с помощта на клавишите:

Ctrl + O

и оставяме редактора, използвайки:

Ctrl + X

Стъпка 3
В този пример, регулярният израз е буквален низ, наречен "sudo", което означава, че всеки път, когато sudo низът се изпълнява в лог файла, той ще отпечатва червен текст към терминала и действието ще бъде посочено на пощата. Has са изпълнени, така че ще имаме постоянна информация за извършените действия.

След конфигурирането си swatchdog чете лог файла / var / log / syslog по подразбиране и ако този файл не присъства, той ще чете / var / log / messages.

Изпълняваме следното, за да прочетем регистрите:

 swatch (RHEL / CentOS и Fedora) swatchdog (Ubuntu / Debian)

Увеличете

Стъпка 4
Също така ще бъде възможно да се посочи различен конфигурационен файл с помощта на параметъра -c, за това първо ще създадем файл, както следва:

 mkdir swatch touch swatch / secure.conf
Стъпка 5
След като бъде създаден, ще добавим следната конфигурация към файла, за да наблюдаваме неуспешни опити за влизане, неуспешни опити за влизане в SSH, успешни SSH влизания в / var / log / log file secure.
 watchfor / FAILED / echo red [email protected], subject = "Опитът за достъп е неуспешен" watchfor / ROOT LOGIN / echo red mail = [email protected], subject = "Коренният достъп е успешен" watchfor /ssh.*: Неуспешен парола / ехо червена поща = [email protected], subject = "Неуспешен опит за SSH връзка" watchfor /ssh.*: сесията е отворена за root на потребителя / ехо червена поща = [email protected], subject = "Право на достъп до SSH Root"

Увеличете

Стъпка 6
Запазваме промените с помощта на клавишите Ctrl + O и излизаме от редактора с помощта на Ctrl + X.
Сега ще стартираме Swatch, като посочим конфигурационния файл, създаден с помощта на -c файла и регистрационния файл, използвайки флага -t по следния начин:

 swatchdog -c ~ / swatch / secure.conf -t / var / log / secure
Стъпка 7
По този начин, когато записите се записват, те ще бъдат показани в резултатите от Swatchdog.
Освен това можем да създадем други файлове за наблюдение като:
 swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --демон swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemon
Някои допълнителни опции за използване са:

--awk-field-синтаксисТази опция може да се използва само ако искате да замените резервния код на регулярно изражение в полза на полето в стил awk
-config -файл | -c име на файлКазва на swatchdog къде да намери конфигурационния файл
--демонКазва на swatchdog да работи във фонов режим и да се отдели от всеки терминал
-extra -module | -M module_nameКажете на swatchdog кои персонализирани модули за действие да заредят.

По този начин ще бъде възможно да се запази по -прецизен контрол на събитията в Linux благодарение на тази помощна програма.

wave wave wave wave wave