Syslog: Пошлем документы почтой часть 2 - В каждом журнале есть сенсация

Подробности

Создано 13.10.2013 00:36

Итак, в каталоге /var/log сидит этот файл, и он заполняется разнообразной информацией о том, что происходит в системе; но что с ним делать? Основных назначений два: первое — с целью диагностики, чтобы понять, в чем проблема, если что-то работает не так, как должно. Вторая — мониторинг подозрительных действий, таких как повторяющиеся неудачные попытки удаленного входа в систему с одного и того же IP-адреса.

В первом случае проще всего прочитать файл программой постраничного просмотра вроде less или поискать в нем текст с помощью дгер. Зная название программы, найти соответствующие строки легко. Также для интерактивного просмотра можно воспользоваться командой tail. Команда tail -f /var/log/messages покажет 10 последних строк журнала и будет выводить любые новые сообщения по мере их добавления. Если выполнить эту команду перед выполнением какого-то действия, можно увидеть результаты этого действия. Например, вставьте флэшку, и вы увидите нечто вроде

Jun 25 15:38:34 hactar kernel: sd 9:0:0:0: Attached scsi generic sg9 type 0

Jun 25 15:38:34 hactar kernel: sd 9:0:0:0: [sdi] 3893248 512-byte logical blocks: (1.99 GB/1.85 GiB)

Здесь kernel [ядро] — программа, отправляющая сообщения, и вы также видите имя устройства, назначенное флэшке — в имени рекомендуется быть уверенным на все сто, если вы хотите записать на флэшку данные командой dd!

Чтение системного журнала — к нему вы прибегаете для решения проблемы — не назовешь приятным занятием, но иначе важные сообщения можно и пропустить. Существует несколько программ для мониторинга журналов: одна из них — logwatch (https://www.logwatch.org). Она считывает системные журналы раз в день и отправляет вам отчет о любой необычной или подозрительной активности. Ее файл настройки по умолчанию — /usr/ share/logwatch/default.conf/logwatch.conf, но не пытайтесь редактировать его, он все равно перезапишется при следующем обновлении. Вместо этого поместите свои настройки в файл /etc/ logwatch/conf/logwatch.conf, который имеет приоритет над файлом по умолчанию. Этот файл можно создать с нуля, но проще всего скопировать сюда файл по умолчанию и изменить необходимые настройки. Обязательно заполните поле MailTo — адрес получателя. Также стоит заполнить и MailFrom (адрес отправителя), чтобы было удобнее фильтровать эти письма. А можно задать add Format = html, если вы хотите получать красивое письмо в HTML вместо простого текста.