Quels journaux suivre régulièrement

Je gère mon propre serveur à la maison pour mon site Web personnel exécutant Ubuntu Server avec Apache, Bind9 et Django. Quels journaux suggéreriez-vous qu'il est préférable de suivre régulièrement? (plutôt que sur la base d'une lecture en cas de problème). Je pense à la détection des tentatives d'intrusion (j'ai déjà rencontré des erreurs SSH) et du trafic inhabituel ou des erreurs sur mon site.

Journaux d'intérêt:

• / var / log / apache2 / * - journaux apache2 :)
• /var/log/auth.log - tentatives d'authentification
• /var/log/daemon.log - les processus système se connectent ici
• / var / log / syslog - tout se connecte ici

J'utilise le package logwatch pour surveiller le trafic SMTP et les connexions SSH et les tentatives d'authentification. Il est disponible dans la plupart des distributions Linux, y compris Ubuntu par défaut.

aptitude install logwatch

Dans le passé, j'ai également utilisé logsurfer + qui est un logiciel compliqué, mais hautement configurable.

Si aucun de ces outils (logwatch, logsurfer +) ne répond à vos besoins, il existe un grand nombre de solutions de gestion des journaux de différents fournisseurs. Des progiciels aux appareils dédiés. Voici quelques conseils pour commencer si vous souhaitez effectuer des recherches supplémentaires. Je ne suis affilié à aucune de ces sociétés ou produits.

• Splunk
• ArcSight
• AlertLogic
• L'Institut SANS dispose de nombreuses ressources supplémentaires

Je suggère d'utiliser OSSEC pour surveiller vos journaux. Il détectera automatiquement les fichiers journaux importants et les surveillera tous en temps réel par défaut.

Si vous utilisez Ubuntu, il examinera tous les journaux d'authentification, les journaux apache, les journaux apt-get (pour voir quand de nouvelles applications sont installées), etc.

Il est open source, dispose d'une équipe de développement active et est simple à utiliser. Nous y avons migré à partir de logwatch, car il examine les journaux en temps réel au lieu de le faire toutes les X heures comme le fait la surveillance des journaux.

Lien: http://www.ossec.net

Je regarde généralement les fichiers ci-dessus, mais surtout les fichiers syslog (/ var / log / messages). J'ai généralement configuré syslog-ng pour fournir un meilleur filtrage, et j'ai configuré syslog pour se connecter en tant que * .debug afin que je puisse tout voir. Tout est lu par un script shell qui a ses racines dans logcheck.sh (désolé, j'ai perdu le lien) et m'envoie quotidiennement des articles intéressants. Cela a une quantité de bruit accrue qui est difficile à filtrer, mais j'utilise aussi le niveau de bruit comme bilan de santé - si le niveau de bruit augmente ou diminue soudainement, quelque chose a changé.

J'ai une mise en garde à propos de logwatch et c'est "quoi" chercher. J'ai écrit / utilisé un outil appelé petit pour effectuer la découverte et la corrélation de mots. Il utilise quelques techniques simples de Natural Language Processing pour supprimer les mots vides. Cela aide un administrateur / analyste qui est responsable de l'analyse des journaux à se sentir plus confiant qu'il / elle saisit, en effet, tous les événements qu'il / elle veut avec la surveillance des journaux.

C'est un problème de base de poulet / œuf de savoir comment savoir ce que je dois rechercher jusqu'à ce que je l'ai vu auparavant. Le mode de découverte de mot de petit y contribue. Il fournit également des graphiques et des hachages cli.

Lien: http://opensource.eyemg.com/Petit