作者：劉志勇 郭聰輝

對於擁有大量賬戶、系統繁忙的Linux系統而言，其日誌檔案是極其龐大的，很多沒有用的資訊會將值得注意的資訊淹沒，給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具，如Logcheck和Friends。

　　Logcheck用來分析龐大的日誌檔案，過濾出有潛在安全風險或其他不正常情況的日誌專案，然後以電子郵件的形式通知指定的使用者。它是由Psionic開發的，可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下載。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。

　　該程式的安裝相當方便。解壓後執行make檔案，按照它的提示選擇作業系統的型別以後就能編譯完成了。配置檔案和執行指令碼預設安裝在/usr/local/etc/下。

　　logcheck.sh

　　這是Logcheck的shell指令碼，用於分析本次的日誌檔案並彙報結果。

　　logcheck.hacking

　　這個檔案設定在日誌檔案中過濾的關鍵字，該關鍵字提示了潛在安全風險的資訊。使用者可以定製自己的日誌檔案，在logcheck.hacking檔案中增加或刪除關鍵字。

　　logcheck.violations

　　這個檔案設定在日誌檔案分析過濾系統執行時出現異常情況的關鍵字。

　　logcheck.violations.ignore

　　如果系統出現異常情況，但含有此檔案中的關鍵字，則視為正常，不寫入Logcheck的分析報告檔案中。

　　logcheck.ignore

　　如果系統日誌檔案記錄了可能遭遇攻擊的訊息，但含有logcheck.ignore檔案中的關鍵字，則Logcheck視為正常，在分析報告檔案中不包含這些訊息。

　　安裝完Logcheck後，還要修改logcheck.sh檔案中的引數以符合使用者的要求。有兩點值得注意。下列命令：

# Person to send log activity to. SYSADMIN=root

　　Logcheck預設將報告發給root。如果要發給指定的電子郵箱，改動這裡就可以了。如果希望將報告發給多個使用者，可以定義mail的別名。要檢查的日誌檔案的設定：

# Linux $LOGTAIL /var/log/syslog > $TMPDIR/check.$ $LOGTAIL /var/log/messages >> $TMPDIR/check.$ 使用者可以根據需要加上要檢查的日誌檔案，例如： $LOGTAIL /var/log/auth.log >> $TMPDIR/check.$ $LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$ $LOGTAIL /var/log/mail.log >> $TMPDIR/check.$

　　最後用cron安排伺服器自動定時重複執行logcheck.sh指令碼檔案。