ログ自動監視ツールSwatchの設定
Swatch の設定ファイルは実行させるユーザーのホームディレクトリに設置します。ここではユーザーswatch を新規に作成し、Swatch を実行する例で説明します。 /home/swatch/.swatchrc ユーザーの作成とログファイルの読み込み権限 ユーザーtaro で Swatch を走らせる場合は、監視するログファイルに対して、ユーザーtaro に読み込み権限が必要になります。rootユーザーで実行すればその必要はありませんが、セキュリティ上問題なので、taroにログファイルの読込み許可を与えます。 新規に secureグループを作成し、secureグループに所属するユーザーswatchを作成します。rootユーザーで行います。
Swatchでログ監視する
1つのログを追うのに1つのSwatchを起動する必要がある。 今回は /var/log/messages と /var/log/secure を追うことにしよう。 基本的に設定ファイルは正規表現によりログから特定のものをつかむ。 ★/var/log/secure を追う★ # # Personal Swatch configuration file for Security. # for RedHat Linux 6.2 and Swatch 3.0.1 # # written by < ryosuke@cool.email.ne.jp > # # tcp_wrapper で telnet を禁止しているネットワークからアクセス # して拒絶されたことを教える。 watchfor = /in.telnetd\[[0-9].*\]: refused/ echo mail=ryosuke@co
ログ監視ツール導入(SWATCH) - CentOSで自宅サーバー構築
(1)SWATCHアクションスクリプト作成 SWATCHが検知したIPアドレスからの累積不正アクセス数が3回ごとまたは、引数でblock※と指定された場合、該当IPアドレスからのアクセスを24時間規制するシェルスクリプトを作成する ※Ping of Death等悪意のあるアクセスを即規制するためのオプション [root@centos ~]# vi /usr/local/bin/swatch_action.sh ← SWATCHアクションスクリプト作成 #!/bin/bash # SWATCHアクションスクリプト # # 引数1:ログ区切り文字を指定 # 引数2:ログ内IPアドレス位置を指定 # 引数3:該当IPアドレスからのアクセスを規制する場合blockを指定 PATH=/bin:/sbin:/usr/bin # 規制IPアドレス情報メール通知先設定 # ※メール通知しない場合は下記をコ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
