`
fantaxy025025
  • 浏览: 1328042 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类

Linux系统下常用日志分析工具:Logcheck简介

 
阅读更多

=

=

=

from:http://os.51cto.com/art/200711/60337.htm

对于拥有大量账户、系统繁忙的Linux系统而言,其日志文件是极其庞大的,很多没有用的信息会将值得注意的信息淹没,给用户分析日志带来了很大的不便。现在有一些专门用于分析日志的工具,如Logcheck和Friends。

Logcheck用来分析庞大的日志文件,过滤出有潜在安全风险或其他不正常情况的日志项目,然后以电子邮件的形式通知指定的用户。它是由Psionic开发的,可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下载。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。

该程序的安装相当方便。解压后运行make文件,按照它的提示选择操作系统的类型以后就能编译完成了。配置文件和运行脚本默认安装在/usr/local/etc/下。

logcheck.sh

这是Logcheck的shell脚本,用于分析本次的日志文件并汇报结果。

logcheck.hacking

这个文件设置在日志文件中过滤的关键字,该关键字提示了潜在安全风险的信息。用户可以定制自己的日志文件,在logcheck.hacking文件中增加或删除关键字。

logcheck.violations

这个文件设置在日志文件分析过滤系统运行时出现异常情况的关键字。

logcheck.violations.ignore

如果系统出现异常情况,但含有此文件中的关键字,则视为正常,不写入Logcheck的分析报告文件中。

logcheck.ignore

如果系统日志文件记录了可能遭遇攻击的消息,但含有logcheck.ignore文件中的关键字,则Logcheck视为正常,在分析报告文件中不包含这些消息。

安装完Logcheck后,还要修改logcheck.sh文件中的参数以符合用户的要求。有两点值得注意。下列命令:

 

# Person to send log activity to.
SYSADMIN=root

 

Logcheck默认将报告发给root。如果要发给指定的电子邮箱,改动这里就可以了。如果希望将报告发给多个用户,可以定义mail的别名。要检查的日志文件的设置:

 

# Linux
$LOGTAIL /var/log/syslog > $TMPDIR/check.$$ 
$LOGTAIL /var/log/messages >> $TMPDIR/check.$$

用户可以根据需要加上要检查的日志文件,例如:
$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/mail.log >> $TMPDIR/check.$$

 

最后用cron安排服务器自动定时重复执行logcheck.sh脚本文件。

 

=

=

=

 

分享到:
评论

相关推荐

    linux系统管理-日志管理和分析分享.pdf

    Linux系统管理-日志管理和分析分享 在 Linux 系统中,日志管理和分析是系统管理员不可或缺...Logcheck 是另一个常用的日志分析工具,它可以解析系统日志,发现可能预示安全问题的数据,并发送一个 email 到指定地址。

    logcheck的安装与使用(内含安装包)

    通过本文的介绍,我们可以了解到logcheck是一款非常实用的日志分析工具,它不仅简化了日志文件的查阅过程,还能够自动检测并报告异常情况,从而帮助系统管理员及时发现并处理潜在的安全隐患。对于Linux系统管理来说...

    Linux系统下三款常用的网络安全工具简介

    Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具,它分析各种Linux log文件,象/var/log/messages,/var/log/secure,/var/log/maillog等等,然后生成一个可能有安全问题的问题报告自动发送email给...

    Linux常用的网络安全工具详细介绍

    本文详细介绍了Linux常用的三个网络安全工具:John the ripper、Logcheck、Tripwire。

    logcheck-开源

    《Logcheck:开源日志监控利器详解》 在信息安全领域,日志文件的监控至关重要,因为它们记录了系统的每一个动作,是排查问题、发现潜在威胁的关键资源。Logcheck,一个开源软件项目,正是为了解决这个问题而生。...

    ansible-logcheck:Ansible角色,用于在类似Debian的系统中设置日志检查

    日志检查 在类似Debian的系统中设置logcheck。要求没有任何变数logcheck_install :[默认: [syslog-summary] ]:要安装的其他软件包(例如syslog-summary ) logcheck_reportlevel :[默认: server ]:控制过滤...

    Linux下的Sendmail管理技巧.pdf

    总之,Linux下的Sendmail管理涉及多个方面,包括系统日志分析、进程监控、日志安全、邮件服务配置和故障排查。熟练掌握这些技巧能有效保障邮件服务的稳定性和安全性,预防和解决可能出现的问题。对于网络管理员而言...

    Lnux Adminstrators Security Guide

    - logcheck:自动分析日志文件,报告异常活动。 - swatch:实时监控日志文件变化,及时响应安全事件。 ### 软件包管理 - **包管理工具**: - RPM:适用于Red Hat系Linux发行版的包管理系统。 - dpkg:Debian及...

    Logcheck Consolidator-开源

    Logcheck Consolidator是一个开源项目,专为系统管理员设计,用于集中管理和分析来自多台计算机的日志文件。这个工具的核心功能是处理来自不同服务器的logcheck生成的电子邮件,将这些信息整合成单一的报告,使得...

    Liunxr入侵检测方法

    - **LIDS和LogCheck**:进一步检查系统日志和异常行为。 #### 四、监控当前连接 **端口守护程序(PortSentry)**是一种用于监控当前与主机连接尝试的软件包。它能够监视特定TCP/IP端口的活动,并报告任何异常行为。 ...

    PortScan Plug-In for Snort-开源

    PortScan插件的设计思路是与logcheck集成,logcheck是一个开源的日志监控工具,它定期检查系统日志,寻找异常行为。将PortScan与logcheck结合,可以实现更全面、更智能的端口扫描检测。当Snort检测到可能的扫描活动...

    James Bond Log-开源

    James Bond Log 是一款专为系统管理员设计的日志监控工具,其灵感来源于swatch和logcheck。这个项目完全用C语言编写,利用了强大的Perl兼容正则表达式(PCRE)库,提供高效且灵活的日志分析功能。与传统的日志检查...

    网络简易留言板

    9. **错误处理与日志**:系统可能包含错误处理代码,当出现异常情况时记录错误信息,这对于调试和维护非常关键。 10. **前端技术**:除了PHP,网页的展示可能还涉及HTML、CSS和JavaScript,用于定义页面结构、样式...

    通过预览、编译、自动完成、着色等功能提高 LaTeX 排版效率.rar

    `logcheck`可以自动解析编译日志,找出潜在问题。 通过熟练掌握上述工具和技巧,我们可以极大地提升LaTeX排版效率,使得文档制作更加高效且精确。无论是学术论文、报告还是演示文稿,都能以更少的时间和精力获得...

    AIX5.3、6.1、7.1可用的openssl0.9.8和openssh6.0安装包

    可以使用`ps`命令检查进程是否正常运行,使用`logcheck`或`syslog`查看日志,以便及时发现和解决问题。 总之,了解如何在AIX系统上安装和管理openssl和openssh是IT专业人员必备的技能之一。这些知识不仅关乎系统的...

    j2ee(聊天室)实验报告

    ### 二、所用工具及环境 实验所需的硬件是计算机,操作系统为Windows 7或XP,软件包括JDK、Glassfish服务器、NetBeans集成开发环境以及支持JDBC的数据库驱动(本例中使用的是MySQL)。 ### 三、实验原理与流程 1....

    Python logging管理不同级别log打印和存储实例

    - **INFO**:记录程序运行过程中的关键步骤或状态变化等信息,适合生产环境下的常规日志记录。 - **WARNING**:表示程序运行过程中可能出现的问题,但不影响程序继续执行。 - **ERROR**:记录程序执行过程中出现的...

    AnsibleRoles:亚历克斯的Ansible Roles信息库

    亚历克斯的Ansible Roles信息库该存储库包含针对Debian GNU / Linux版本7(Wheezy)系统的Ansible角色。可用角色天使基地将目标系统配置为由Ansible管理,例如,更新logcheck(8)配置。apache2 默认的Apache 2.x...

    GDMFN.rar_网络编程_MultiPlatform_

    "MultiPlatform"标签表明这个项目或程序设计是跨平台的,意味着它可能能在不同的操作系统上运行,如Windows、Linux或Mac OS等。 描述提到"用asp写的小型局域网聊天系统",这揭示了以下几点关键知识点: 1. **ASP...

Global site tag (gtag.js) - Google Analytics