Linux下常用日誌分析工具Logcheck簡介
作者:劉志勇 郭聰輝
對於擁有大量賬戶、系統繁忙的Linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如Logcheck和Friends。Logcheck用來分析龐大的日誌檔案,過濾出有潛在安全風險或其他不正常情況的日誌專案,然後以電子郵件的形式通知指定的使用者。它是由Psionic開發的,可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下載。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。
該程式的安裝相當方便。解壓後執行make檔案,按照它的提示選擇作業系統的型別以後就能編譯完成了。配置檔案和執行指令碼預設安裝在/usr/local/etc/下。
logcheck.sh
這是Logcheck的shell指令碼,用於分析本次的日誌檔案並彙報結果。
logcheck.hacking
這個檔案設定在日誌檔案中過濾的關鍵字,該關鍵字提示了潛在安全風險的資訊。使用者可以定製自己的日誌檔案,在logcheck.hacking檔案中增加或刪除關鍵字。
logcheck.violations
這個檔案設定在日誌檔案分析過濾系統執行時出現異常情況的關鍵字。
logcheck.violations.ignore
如果系統出現異常情況,但含有此檔案中的關鍵字,則視為正常,不寫入Logcheck的分析報告檔案中。
logcheck.ignore
如果系統日誌檔案記錄了可能遭遇攻擊的訊息,但含有logcheck.ignore檔案中的關鍵字,則Logcheck視為正常,在分析報告檔案中不包含這些訊息。
安裝完Logcheck後,還要修改logcheck.sh檔案中的引數以符合使用者的要求。有兩點值得注意。下列命令:
# Person to send log |
Logcheck預設將報告發給root。如果要發給指定的電子郵箱,改動這裡就可以了。如果希望將報告發給多個使用者,可以定義mail的別名。要檢查的日誌檔案的設定:
# Linux $LOGTAIL /var/log/syslog > $TMPDIR/check.$ $LOGTAIL /var/log/messages >> $TMPDIR/check.$ 使用者可以根據需要加上要檢查的日誌檔案,例如: $LOGTAIL /var/log/auth.log >> $TMPDIR/check.$ $LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$ $LOGTAIL /var/log/mail.log >> $TMPDIR/check.$ |
最後用cron安排伺服器自動定時重複執行logcheck.sh指令碼檔案。
相關推薦
Linux下常用日誌分析工具Logcheck簡介
作者:劉志勇 郭聰輝 對於擁有大量賬戶、系統繁忙的Linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如Logcheck和Friends。 Logcheck用來分析龐大的日誌檔案,過濾出有潛在安全風險或其
linux下awk日誌分析
linux 接口 記錄 video 文本命令數據分析假設線上倒出的接口訪問日誌有上百行,該日誌的記錄格式如下:/data1/www/logs/archives/170524/170524.v6.weibo.com_10.72.13.113.0.cn.gz:v6.weibo.com 123.12
Linux下常用的數據恢復工具
restore 幫助信息 特定 結合 inux 只讀 urn 並且 格式 一。數據刪除命令:rm -rf,將任何數據直接從硬盤刪除,且沒有任何提示建議做法:把命令參數放到後面:rm -rfi 將刪除的東西通過mv命令移動到系統下的/temp目錄下,然後寫個腳 本定期執行清除
Linux下vmstat調優工具的深入分析
vmstat procs -----------memory---------- ---swap-- -----io---- --system-- -----cpu------ r b swpd free buff cache si so bi bo in c
10款Linux下常用安全工具詳細介紹
先說明下這類工具的安裝,安裝準備--Linux下一些壓縮檔案的解壓命令: tar xvf *.tar(tar壓縮的軟體包) tar zxvf *.tar.gz (tar和gzip壓縮的軟體包) unrar x *.rar unpack_pa
Linux下apache日誌(按日期存放)分析與狀態檢視方法
一、apache日誌按日期記錄 在apache的配置檔案中找到 ErrorLog logs/error_log CustomLog logs/access_log common Linux系統配
Linux下常用工具
solaris 10下快速部署samba服務作者:田逸([email protected]) 版權所有,未經本人許可,不得以任何方式轉載或傳播 samba服務是linux與windows共享檔案的一種方式,從某種意義上講,samba服務屬於檔案伺服器的一種。下面,我
arm linux下交叉編譯valgrind工具進行記憶體洩露檢測和效能分析
C/C++等底層語言在提供強大功能及效能的同時,其靈活的記憶體訪問也帶來了各種糾結的問題。如果crash的地方正是記憶體使用錯誤的地方,說明你人品好。如果crash的地方記憶體明顯不是consistent的,或者記憶體管理資訊都已被破壞,編譯器不能發現這些問題,.執行時才能捕獲到這些錯誤並且還是隨機出現的,那
linux下的核心測試工具——perf使用簡介
摘要:Perf是Linux kernel自帶的系統性能優化工具。Perf的優勢在於與Linux Kernel的緊密結合,它可以最先應用到加入Kernel的new feature。pef可以用於檢視熱點函式,檢視cashe miss的比率,從而幫助開發者來優化程式效能。
Linux系統中五款好用的日誌分析工具
監控網路活動是一項繁瑣的工作,但有充分的理由這樣做。例如,它允許你查詢和調查工作站和連線到網路的裝置及伺服器上的可疑登入,同時確定
Linux下常用命令之sed學習總結
linux sed sed命令 正則表達式 sed總結 Sed功能說明:Sed是linux下一個強大的文本文件處理工具,通過對文件增加、刪除、查找、查詢操作,配合正則表達式以實現工作中的各種需求。同時也是一名運維人員必須掌握的核心技能。---------------------------
windows常用日誌分析
windows 計算機 用戶 帳戶 查找AD中用戶帳戶鎖定時間及鎖定的計算機。a.打開安全日誌。b.查找eventid 4740,即可查找出被鎖定帳戶和鎖定源。本文出自 “工作備忘錄” 博客,謝絕轉載!windows常用日誌分析
Logwatch日誌分析工具
logwatch日誌監控介紹:Logwatch是使用 Perl 開發的一個日誌分析工具。Logwatch能夠對Linux 的日誌文件進行分析,並自動發送mail給相關處理人員,可定制需求。Logwatch的mail功能是借助宿主系統自帶的mail server 發郵件的,所以系統需安裝mail server
Linux下安裝nmap掃描工具
sca tcp 可能 失敗 會話 黑客 install 進制 其余 NMAP是一款流行的網絡掃描和嗅探工具,被廣泛應用在黑客領域做漏洞探測以及安全掃描,更多的nmap是一個好用的網絡工具,在生產和開發中也經常用到,主要做端口開放性檢測和局域網信息的查看收集等,不同Lin
linux下安裝nmon監控工具
註意 tor dha 壓縮 spa eas span project log 1.首先下載壓縮包 wget http://sourceforge.net/projects/nmon/files/download/nmon_x86_12a.zip/download
碰碰車司機教你Linux下使用nmon分析系統性能
碰碰車 linux 軟件包 司機 下載nmon。 根據CPU的類型選擇下載相應的版本:http://nmon.sourceforge.net/pmwiki.php?n=Site.Downloadwget http://sourceforge.net/projects/nmon/files/d
pt-query-digest查詢日誌分析工具
tcp 技術 一段時間 ext 所在 mda pop json sdn 版權聲明:本文為博主原創文章,未經博主允許不得轉載。 工具簡介 pt-query-digest是用於分析mysql慢查詢的一個工具,它可以分析binlog、General log、slo
linux下安裝NPM管理工具
body 目的 amp 下載 。。 3.6 src 目錄 8.0 轉自: http://www.cnblogs.com/lovelylife/p/3503980.html 根據”挖一下“開發需要,選擇nodejs實現異步IO,目的是為了解決
Linux下 分割日誌大文件
日誌 切分 分割 Linux下分割日誌有兩種常用命令 ddsplit(推薦使用)1.dd:作用是用指定大小的塊拷貝一個文件,並在拷貝的同時進行指定的轉換。參數註釋:if=filename:輸入的文件名of=finename:輸出的文件名bs=bytes:一次讀寫的字節數,默認是512bytessk
Linux下rootkit後門檢測工具chkrootkit
linux 後面一、安裝編譯工具包yum install gcc gcc-c++ makeyum install glibc-static二、安裝chkrootkitcd /usr/local/src/wget ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.t