Vor kurzem hatte ich einen Studenten fragen mich eine Frage bezüglich der Integration von Logwatch mit OSSEC. Ich fühlte mich wie das war eine komplexe und dennoch kühl genug Idee, dass es eine Reihe von Beiträgen gewährleistet, dass es in volle Deckung. So in den nächsten Tagen werde ich über jedes dieser Werkzeuge zu sprechen, wie man sie integrieren zusammen, als auch, was zusätzliche Sicherheit Sichtbarkeit gewonnen werden kann, sobald der Prozess abgeschlossen ist.
Was ist Logwatch?
Logwatch ist ein ausgezeichneter Open-Source-Werkzeug zum Erzeugen von täglich lesbare Log-Reports. Log-Einträge dazu neigen, in eine von drei Kategorien fallen:
- Stuff Sie wissen, ist das Böse
- Stuff Sie wissen, ist normal und kann ignoriert werden
- Alles andere
Es besteht darin, dass "alles andere" Kategorie, in der Logwatch wirklich glänzt. Für die Sachen, die wir wissen, ist das Böse, werden wir Setup irgendeine Form von Alarmierungssystem. Zum Beispiel können wir schreiben eine Warnung Unterschrift, dass die Security Analyst warnt, wenn ein Konto Brute gezwungen werden. Aber was ist mit den Anschlägen wir nicht kennen oder nicht sicher sind, wie sie aussehen? Dies wäre ein klares Beispiel dafür, dass "alles andere" Kategorie sein. Der Verkehr ist nicht normal, aber wir haben es nicht gesehen, bevor eine Signatur warten, um einen Alarm zu generieren müssen. Da wir nicht in der Lage sein wird, den Angriff in Echtzeit zu fangen, müssen wir es bei einer täglichen Überprüfung von Protokollen zu fangen.
Natürlich ist das Problem dabei täglich log Bewertungen ist, dass es mühsam und zeitaufwendig ist. Ich meine, seien wir ehrlich, wer will ihren Tag verbringen Überprüfung Million und Log-Einträge? Selbst wenn Sie haben, sind Sie sicher, dass Sie tatsächlich fangen die aus dem normalen Verkehr?
Wie es funktioniert
Was Logwatch nicht sehr gut ist erlaubt Ihnen, Ihre Daten in ein Format, dass für Menschen leichter zu folgen ist zu reorganisieren. Seine wirkliche Stärke ist, dass man bei dem was du verstehen, aus dem Weg (normal oder böse) zu verschieben, so dass der unerwartete Log-Einträge auffallen wie ein bunter Hund erlaubt. Mit anderen Worten, können Logwatch Sie eine Zusammenfassung Ihrer Log-Einträge, so dass die ungewöhnlichen Zeug ist leichter zu sehen.
Was ich wirklich liebe, Logwatch ist, dass Sie nichts verlieren. Viele log Review-Tools zeigen nur Sie das Zeug, das wurde als böse vordefiniert. Das Problem Allen gemeinsam ist, dass, wenn etwas Böses, aber Unvorhergesehenes passiert, ist es direkt unter der Leitung fliegt. Da Logwatch können Sie alles sehen, die Sie nicht mehr vermissen das Unerwartete.
Logwatch In Action
Lets diskutieren, wie Logwatch mit den Werken SSH -Server-Dienst als Beispiel. Die Skripte, mit SSH zu tun haben bereits in Logwatch definiert worden ist, so brauchen Sie nicht zu jegliche Feinabstimmung, um die Funktionen, die wir diskutieren wollen, erhalten haben.
Bei der Überprüfung einer Log-Datei, ist das erste, was Logwatch, reorganisiert Log-Einträge auf dem Message-Typen basieren. Zum Beispiel alle erfolgreichen SSH-Anmeldungen werden gruppiert sowie zu viele fehlgeschlagene Anmeldeversuche, weigerte sich Verbindungen, gesperrte Konten, Konten ohne eine richtige Schale, Protokoll mis-matches, etc. etc. etc. Nachdem alle SSH-Nachrichten von ihren gruppiert Art, werden die Daten dann zusammengefasst, um die Menge an Informationen gemeldet zu reduzieren.
Zum Beispiel ist der Standard für fehlgeschlagene Anmeldeversuche von Konto-und Quell-IP-fassen. So eine typische fehlgeschlagene Anmeldeversuche Bericht Abschnitt könnte wie folgt aussehen:
Failed Logins von diesen:
bsmith / Passwort von 1.2.3.4: 637 Mal (e)
jsmith / Passwort von 1.2.3.5: 2 (s)
So anstatt bis 639 Protokolleinträge Berichterstattung eine schlechte Anmeldeversuch zu überprüfen, haben wir alle relevanten Informationen in drei Zeilen (wenn Sie den Titel zählen) zusammengefasst. Wiederholen Sie diesen Vorgang für alle anderen SSH-Nachrichten, und wir haben drastisch die Zeit benötigt, um unsere Protokolle überprüfen reduziert.
Aber was, wenn etwas passiert, das Logwatch nicht vorprogrammiert ist, zu erkennen? Wenn eine unerwartete Protokolleintrag gefunden wird, fügt Logwatch einen Abschnitt bis zum Ende des Service-Bericht namens "Unerreichte Entries". Also, wenn wir diesen Titel in den SSH-Server Abschnitt sehen, wissen wir ein Ereignis aufgetreten ist, ist entweder ungewöhnlich oder unerwartet für den SSH-Dienst. Dies könnte sehr wohl eine Form von Angriff sein, dass wir nicht bewusst sind, macht die Runde.
Durch die Konzentration in der unübertroffenen Einträge Abschnitt können wir schnell erkennen unerwartete Aktivität. Wie ich bereits sagte, ist dies wirklich das Hauptziel tun täglichen Log-Bewertungen. So finden Sie die Sachen, die wir nicht erwarten, die die Vergangenheit unserer Alarmierungs-System zu schleichen. Logwatch macht diesen Prozess so schnell und so schmerzlos wie möglich.
Zusammenfassung der Features
In dem obigen Beispiel, das ich sprach darüber, tägliches Protokoll Kritiken, aber um ehrlich zu sein Logwatch ist hochgradig anpassbar. Sie können einen beliebigen Bereich, den Sie verwenden möchten, bis zu einem Abstand von 1 Sekunde. Zum Beispiel sagen wir, ich bin die Untersuchung einen Eingriff statt einer täglichen Log überprüfen. Ich konnte einen Bereich wie "2010.02.14 17.05.00 für diese Stunde" nach rechts in die Informationen, die mich interessieren zu konzentrieren. Ich kann auch in an einem bestimmten Log-Datei oder eine Dienstleistung zu konzentrieren.
Der Detaillierungsgrad des Berichts ist auch anpassbar. Normalerweise, wenn Sie mit Sicherheit viel Sie in die Gewohnheit, immer wollen die höchste Detailstufe der Berichterstattung. Um ehrlich zu sein, mit Logwatch ein hohes Maß an Detail ist wahrscheinlich mehr als Sie jemals brauchen werden. Ich persönlich in der Regel mit "med" für mittlere Stick und das klappt gut. Sie können auch die Berichterstattung Ebene als "niedrig" oder "hoch" oder verwenden Sie einen numerischen Bereich von 0-10 für ein höheres Maß an Granularität (low = 0, med = 5, high = 10).
Logwatch kann automatisch oder als manueller Prozess ausgeführt werden. In der Regel werden Sie wollen, um es einzurichten, um automatisch bei jedem Tages-und zusammenzufassen 1 Tag lohnt sich der Log-Einträge. Wenn Sie jemals brauchen zu erweitern oder zu konzentrieren Bericht, kann man immer laufen Logwatch von der Kommandozeile unter Angabe genau, was Sie sehen wollen. Anschließend können Sie die "-save"-Option, um einen Bericht Name und Speicherort des Verzeichnisses für die Speicherung angeben.
Mehr To Come
Die oben sollte Ihnen eine gute Idee, um die Eigenschaften Logwatch an den Tisch bringen kann. In der nächsten Post werde ich OSSEC in der gleichen Ausführlichkeit zu besprechen. Danach werde ich mich in wie jedes Werkzeug und wie sie zu integrieren gemeinsam zu installieren bekommen.
Related posts:
