Поиск полезной информации в журнальных файлах
Категория: Система Syslog и журнальные файлы | Автор: admin | 23-12-2009, 03:16 | Просмотров: 2578

Система Syslog прекрасно подходит для сортировки и маршрутизации сообщений, но в результате все равно получается большой набор журнальных файлов. Они могут содержать много важной информации, но ее бывает не так-то просто найти. Необходимо дополнительное программное обеспечение для анализа журнальных файлов и поиска в них нужных сообщений.

В данном сегменте рынка предлагается много бесплатных продуктов, и большинство из них работает примерно одинаково: они сканируют недавние записи журнального файла, сравнивают их с регулярными выражениями из базы данных и определенным образом обрабатывают важные сообщения. Некоторые программы направляют пользователю отчет по электронной почте. Различия между программами проявляются в степени гибкости и размере баз данных с шаблонами.

Двумя наиболее распространенными программами обработки журнальных файлов являются утилиты swatch Тодда Аткинза (Todd Atkins) и logcheck Крейга Роуленда (Craig Rowland). Первая из них доступна по адресу

ftp://ftp.stanford.edu/general/security-tools/swatch/

а вторая — на Web-узле

http://www.psionic.com/abacus/logcheck

Утилита swatch — это Perl-сценарий, работающий по указаниям, оставленным в конфигурационном файле. Синтаксис этого файла достаточно гибок, так как позволяет выполнять все существующие в языке Perl операции сравнения с шаблонами. Утилита swatch может обработать конфигурационный файл за один вызов, но обычно она выполняется автономно, отслеживая новые сообщения по мере их поступления. Недостатком является то, что конфигурационный файл, по сути, нужно создавать с нуля. Утилита не знает об особенностях работы системы и о том, какие регистрационные сообщения в ней генерируются.

Утилита logcheck — это более простой сценарий интерпретатора sh. В дистрибутив входит также программа на языке С, которая помогает утилите logcheck запоминать свое текущее положение в журнальном файле. Благодаря этому у сообщения меньше шансов пройти незамеченным на этапе начальной загрузки или перезагрузки. Утилита может запускаться периодически с помощью демона cron, а не выполняться постоянно.

С утилитой logcheck поставляются базы данных с шаблонами для нескольких версий UNIX. Даже если в самой утилите нет особой надобности, полезно просмотреть эти базы данных, так как в них могут содержаться очень интересные и полезные шаблоны.

Недостаток обеих утилит состоит в том, что за раз они обрабатывают только один журнальный файл. Если система Syslog направляет сообщения сразу в несколько файлов, нужно дублировать некоторые из них в каком-то центральном файле, который часто обнуляется, а затем передавать этот файл на последующую обработку одному из сценариев. Это проще, чем организовывать сложную сеть сценариев, управляющих несколькими журнальными файлами.

Независимо от того, какая система используется для сканирования журнальных файлов, есть ряд моментов, которые нужно проверить, чтобы в случае необходимости немедленно проинформировать системного администратора.

  • Большинство сообщений, связанных с безопасностью, должно просматриваться немедленно. Важно отслеживать неудачные попытки регистрации, равно как вызовы команд su и sudo, чтобы предотвратить возможный взлом системы, пока еще не поздно. Если кто-то просто забыл или неправильно набрал пароль (как чаще всего бывает), то появление оперативной подсказки произведет хорошее впечатление и повысит репутацию системного администратора.
  • Сообщения о нехватке места на диске должны помечаться и немедленно обрабатываться. Когда диск переполнен, работать на нем невозможно.
  • Многократно повторяемые сообщения заслуживают внимания, хотя бы ради профилактики.


 (голосов: 0)
Версия для печати | Комментариев: 0
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.


 
Логин
Пароль
 

 
Locations of visitors to this page