Come amministratori di sistema dobbiamo sempre disporre dei migliori strumenti e applicazioni che ci permettano di svolgere compiti di monitoraggio e supervisione in modo molto più completo, cioè non solo ottenere dati superficiali ma completi su ogni azione che avviene sia a livello interno che esterno all'interno del sistema operativo.
Uno dei modi migliori per accedere a queste informazioni è tramite registri o record di eventi in cui sono archiviati più dati, come ad esempio:
- Avviamenti, riavvii e arresti del sistema sia riusciti che non riusciti
- Accesso ad applicazioni e programmi
- Eventi di sicurezza
- Registri delle connessioni in entrata e in uscita e molto altro ancora.
Una delle migliori opzioni per accedere al monitoraggio di questi log è Swatchdog e quindi in Solvetic spiegheremo come installarlo e utilizzarlo in Linux.
Cos'è SwatchdogSwatchdog è un semplice script basato su Perl che è stato sviluppato per monitorare i file di registro attivi su sistemi simili a Unix come Linux.
Swatchdog è in grado di monitorare quasi ogni tipo di log su Linux e questi log sono prodotti dalla funzione Unix syslog e sarà possibile vedere log basati su espressioni regolari che possiamo definire nel file di configurazione dell'utility.
1. Come installare Swatchdog su Linux
Per questo caso utilizzeremo Ubuntu 18.04, il pacchetto swatchdog è disponibile per l'installazione dai repository ufficiali di ciascuna delle principali distribuzioni Linux come pacchetto "swatch" tramite un gestore di pacchetti, per la sua installazione possiamo eseguire quanto segue in base alla distribuzione Usato:
sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)
INGRANDIRE
Premi il tasto S per confermare il download e l'installazione di Swatchdog.
Se vogliamo installare l'ultima versione di Swatchdog, deve essere compilata dal sorgente utilizzando i seguenti comandi su tutte le distribuzioni Linux:
git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realcleanCon quei comandi lo avrai pronto.
2. Come configurare Swatchdog su Linux
Una volta completato il processo di installazione di Swatchdog, sarà necessario creare il file di configurazione, la sua posizione predefinita è /home/$USER/.swatchdogrc o .swatchrc, questo per determinare quali tipi di pattern di espressione vengono utilizzati. andando a cercare e che tipo di azione dovrebbe essere eseguita quando si combina un modello.
Passo 1
Per creare questo file utilizzeremo una delle seguenti opzioni:
sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc
INGRANDIRE
NotaIl campo Solvetico deve essere sostituito dal rispettivo utente.
Ora andremo ad aggiungere un'espressione regolare in questo file e ogni riga deve contenere una parola chiave e un valore separati da uno spazio o un segno di uguale (=), sarà necessario specificare un modello e un'azione da intraprendere nell'evento che un modello.
Accediamo al file utilizzando l'editor desiderato:
sudo nano swatchdogrcPasso 2
Lì incolleremo, come esempio, quanto segue:
watchfor / sudo / echo red [email protected], soggetto = "Sudo Action"
INGRANDIRE
Salviamo le modifiche utilizzando i tasti:
Ctrl + O
e lasciamo l'editor usando:
Ctrl + X
Passaggio 3
In questo esempio, l'espressione regolare è una stringa letterale chiamata "sudo", il che significa che ogni volta che la stringa sudo viene eseguita nel file di registro, verrà stampato un testo rosso sul terminale e l'azione verrà specificata nella posta. stato eseguito, quindi avremo informazioni costanti sulle azioni svolte.
Dopo la sua configurazione, swatchdog legge il file di log /var/log/syslog per impostazione predefinita, e se questo file non è presente, leggerà /var/log/messaggi.
Eseguiamo quanto segue per leggere i registri:
swatch (RHEL / CentOS e Fedora) swatchdog (Ubuntu / Debian)
INGRANDIRE
Passaggio 4
Sarà anche possibile indicare un diverso file di configurazione utilizzando il parametro -c, per questo creeremo prima un file come segue:
mkdir swatch touch swatch / secure.confPassaggio 5
Una volta creato, aggiungeremo la seguente configurazione al file per monitorare i tentativi di accesso non riusciti, i tentativi di accesso SSH non riusciti, gli accessi SSH riusciti nel file /var/log/log secure.
watchfor / FALLITO / echo red [email protected], soggetto = "Tentativo di accesso non riuscito" watchfor / ROOT LOGIN / echo red mail = [email protected], soggetto = "Accesso root riuscito" watchfor /ssh.*: Non riuscito password / echo red mail = [email protected], subject = "Tentativo di connessione SSH fallito" watchfor /ssh.*: sessione aperta per l'utente root / echo red mail = [email protected], subject = "SSH Root access right"
INGRANDIRE
Passaggio 6
Salviamo le modifiche usando i tasti Ctrl + O ed usciamo dall'editor usando Ctrl + X.
Ora eseguiremo Swatch specificando il file di configurazione creato utilizzando il file -c e il log utilizzando il flag -t in questo modo:
swatchdog -c ~ / swatch / secure.conf -t / var / log / securePassaggio 7
In questo modo, man mano che le voci vengono registrate, verranno visualizzate nei risultati di Swatchdog.
Inoltre possiamo creare altri file per il monitoraggio come:
swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / message_watch_config -t / var / log / messaggi --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemonAlcune opzioni di utilizzo aggiuntive sono:
--awk-field-syntaxQuesta opzione può essere usata solo se vuoi sovrascrivere il backend regex a favore del riferimento al campo in stile awk
-config-file | -c nomefileIndica a swatchdog dove trovare il file di configurazione
--demoneDice a swatchdog di funzionare in background e di dissociarsi da qualsiasi terminale
-extra-module | -M nome_moduloIndica a swatchdog quali moduli di azione personalizzati caricare.
Pertanto, sarà possibile mantenere un controllo più preciso degli eventi in Linux grazie a questa utility.