タグ

関連タグで絞り込む (5)

タグの絞り込みを解除

Swatchに関するbasementjaxxのブックマーク (5)

  • Swatchでログを監視して、攻撃に合わせた対策を自動で実行する方法

    ハッカーからの攻撃に対して、千手観音のような活躍をみせるSwatchの応用編 前回の投稿でSwatchの基的な使い方を解説しました。 このページではiptablesでアクセスを遮断したり、攻撃に使われたIPに関する情報をメールに追加したりと、外部スクリプトと連携する方法を解説します。 合わせてSwatchの設定を一元管理する方法。一連の処理をテスト・調整する方法も解説します。 また、投稿の最後には実際に運用している設定の例を掲載しています。 このページで紹介するスクリプトは以下のサイトで紹介されている方法を元に手を加えたものです。この場を借りてお礼申し上げます。 http://centossrv.com/swatch.shtml 目次 Swatchによって実行されるスクリプトを作成 swatch.logのログローテーションを設定 BIND用の設定ファイルを作成 Swatchの起動スクリプ

    Swatchでログを監視して、攻撃に合わせた対策を自動で実行する方法

  • 【学習メモ】Swatchのthresholdの使い方-track_byの挙動-

    はじめに swatchのthreshold track_byには、正規表現で文字列を指定する解説ページが多いですが、manのtrack_by="$2:$4"がどう使うのかわからなかったので挙動を確認しました。 環境 CentOS6.9 Linux 2.6.32-696.20.1.el6.x86_64 GNU/Linux Swatch 3.2.3 まとめ thresholdの設定に対しtrack_byは以下のように動作しました。 カウントの対象は1つだけではなく、track_byによりグループに分割されるようです。(概念なのでグループでなくても良いです) thresholdを設定すると、watchforにヒットしtrack_byにヒットしないものもグループとみなされ、ヒットするものとは別にカウントするようです。

    【学習メモ】Swatchのthresholdの使い方-track_byの挙動-

  • ログ監視ツールSwatchを試してみる

    概要 サーバのログを監視するSwatchについて調べる 例えばApacheのログに「PHP Fatal error」が出力された場合にメール送信や任意のスクリプトを実行するなど何かを行いたいという時に使うツール 導入 導入環境 $ cat /etc/redhat-release CentOS release 6.8 (Final) Swatchを入れる $ sudo yum --enablerepo=epel -y install swatch 使い方 Swatchを実行するにはアクションが記述された設定ファイルが必要 Swatchの構文について watchfor 検索パターン アクション1 アクション2 アクション3 ... 例 watchfor /PHP Fatal error/ # 「PHP Fatal error」にマッチした行を赤文字で出力 echo red 上記の例ではアクショ

    ログ監視ツールSwatchを試してみる

  • サーバのログを監視するSwatchの導入方法と使い方を解説

    止めどなくサーバに押し寄せるハッカーによる攻撃 「サーバを無防備な状態でインターネットに繋ぐと、30分でハッキングされる」というショッキングなデータが示す通り、健全なサーバ運用にはセキュリティ対策が必須です。 サーバへの攻撃はポートスキャン・脆弱性の把握・総当たり攻撃・Dos攻撃と多岐に渡ります。 攻撃を確実に防ぐにはログを分析して1つ1つ対策を取る必要があります。 そうなると、どうしても人力での対策には限界があります。 そんな悩めるサーバ管理者の強い味方Swatchについて解説します。Swatchを使えばサーバのログを監視し、予め登録しておいた対策を実行することができます。 1つ1つの設定は単純ですが、複数の要素を組み合わせて動作させるため解説が長くなるので、2回に分けて解説します。 今回は基編ということで、Swatchのインストールから、基的な使い方までを解説します。 目次 swa

    サーバのログを監視するSwatchの導入方法と使い方を解説

  • swatch threshold設定のtypeパラメータ - とみぞーノート

    swatchのthreshold設定swatchでログを監視する場合、同じログが何度も出てくる場合に備えて間引き設定を行うことが多い。 指定時間の間、同じアクションの再実行を抑止するthrottle指定や、アクション実行を行うしきい値を指定するthreshold指定がある。ここではthresholdを使う場合に指定するtypeパラメータの意味について説明する。 以下にswatchのconfigのエントリ例を示す。ssh等による認証失敗のログを見つけたら、アクション(メール送信)を実行する動作を想定している。 swatchのconfig例 watchfor /authentication failure/ mail=foo@dummy.com,subject="Swatch detected authentichation failure" threshold track_by=/authf

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.