对于如此庞大的日志信息,大部分并没多大的用处,但在跟踪某一具体问题或者安全漏洞时却可能很有用。那么我们如何对其进行有效地分析与监测,发挥其真正作用呢?在此推荐两款比较常用的日志分析与监控软件,对这些日志信息进行自动地分析与监控。
1. 利用Logwatch 进行日志监控
在Linux系统中,已经默认安装了Logwatch,配合Sendmail的邮件发送功能,向系统管理员发送前一天的日志分析结果邮件。其配置文件为/etc/log.d/logwatch.conf,下面是省略注释后的配置文件,一般只需将MailTo部分改为系统管理员邮箱地址即可,更多的配置细节可参考其官方http://www.logwatch.org。
LogDir =/var/log
MallTo= admin@local.com
Pnnt=No
Range=yesterday
Detail=High
Service=All
2. 利用Swatch进行日志的实时监控
Swatch 下载链接为http://sourceforge.net/projects/swatch/。要安装 Swatch,需要先安装两个perl模块包:Date-Calc-5.4.tar.gz和TimeDate-1.16.tar.gz 接着安装Swatch,安装步骤如下:
#tar-zxvf swatch-3.2.1.tar.gz
#cd swatch-3.2.1
#perl Makefile.PL
#make
#make test
#make install
#make realclean
配置Swatch使其作,需建立配置文件~/.swatchrc,按照其语法规则添加监测的相关内容,可使用“man swatch”命令查看具体配置内容及含义。下面是一个简单的范例,仅供参考:
W a t c h f o r = /Failedfuseraddllnvalid/i #采用正则表达式的形式指定监测的内容#
echo #使得匹配的行通过stdout显示#
mail address=admin\@local.com,subject=Monitor Result #向系统管理员发送监测结果邮件,并设定相应的主题#
mall addresses=admin\@local.com,subject=Monitor Result,when=2-5:8-17 # 向系统管理员发送监测结果邮件,并设定相应的主题及监控的时间#
使用“swatch--help”查看Swatch运行时的具体选项。下面是一个运行命令范例,仅供参考:
#swatch-config-file=~/.swatchrc-examine=/var/log/messages
当出现监控到的信息时,Swatch即会实时地发送邮件给系统管理员,及时杜绝入侵者的各种入侵尝试,保护系统的安全。
日志主机系统的建立,不但能够有效提高日志管理、分析及监测的效率,同时它也对于日志信息的安全保护起到了极为重要的作用,一方面它将各服务器的日志信息在日志主机上进行备份,同时也能够有效防止入侵痕迹,为系统管理工作提供了极大的便利性,是有效保障系统安全的重要途径之一。