系统日志管理、监控与入侵检测技术详解
1. 使用 Swatch 进行自动化日志监控
若要使用 Swatch 监控多个文件,需多次运行 Swatch,每次至少指定不同的跟踪目标(-t 值),可能还需不同的配置文件。更多启动选项可参考 swatch(1) 手册页。
2. 微调 Swatch
Swatch 配置并运行后,要达到“刚刚好”的目标,既不能“过热”(对常规或琐碎事件发出警报),也不能“过冷”(对任何事件都不发出警报)。
以下是一些建议:
- 养成经常浏览系统日志的习惯,了解系统的常规运行状态。
- 实时跟踪日志,使用命令tail -f /var/log/messages,可打印系统日志的最后 50 行,以及后续生成的所有行,直到使用 Ctrl - C 终止 tail 命令。此方法适用于任何文件,即使是变化非常快的日志文件。
- 在一个虚拟控制台或 xterm 中对系统进行探测/攻击,同时在另一个中跟踪各种日志文件,nmap 和 Nessus 是不错的工具。
Swatch 虽能减少手动解析日志文件的需求,但不能完全消除。就像有了计算器仍需具备基本算术技能一样,若自己无法识别日志中的内容,就无法让 Swatch 去查找。
3. 不要一劳永逸地配置 Swatch
不要因 Swatch 很少发出警报而自满,这可能是系统未被频繁探测或滥用,也可能是 Swatch 的监测范围不够广。需定期手动扫描日志,检查是否有遗漏,并不断调整 .swatchrc 文件。同时,定期重新考虑生成日志消息的守护进程的审计/日志记录配置,因为 Swatch 无
