私は最近、学生は私にOSSECとlogwatchのの統合に関する質問をしていた。 これは、それは完全にそれをカバーする一連の記事を保証クールまだ複雑で十分なアイデアだったように私は感じた。 そこで、次の数日間に私は、これらのツールのそれぞれについて述べて、それらを一緒に統合する方法だけでなく、プロセスが完了すると、追加のセキュリティの可視性を得ることができるのか。
Logwatchは何ですか?
Logwatchは、日常の人間が読める形式のログレポートを生成するための優れたオープンソースのツールです。 ログエントリには、3つのカテゴリのいずれかに該当する傾向がある。
- あなたが知っているものは悪です。
- あなたが知っているものは正常であり、無視してかまいません
- 他のすべて
それは、logwatchのがその本領を発揮その"他のすべて"のカテゴリです。 我々は悪である知っているもののため、私たちは警告するシステムのいくつかのフォームをセットアップします。 例えば、我々は、アカウントがブルート強制されているときに、セキュリティアナリストが警告するアラートの署名を書くことができます。 しかし、攻撃に関して我々は知っていないか、または彼らがどのようなものか不明なのですか? これは、"それ以外"カテゴリの明確な例であろう。 トラフィックは、通常のではなく、アラートを生成するために待っている署名を持って前に我々はそれを見ていない。 我々はリアルタイムで攻撃をキャッチすることができなくなりますので、我々は毎日のログレビュー中にそれをキャッチする必要があります。
もちろん、毎日のログレビューを行うことの問題点は、退屈で時間のかかることです。 私は本当に百万プラスログエントリを調べ、その日を過ごすために望んでいる人、正直になろう意味ですか? もしあったとしても、あなたが実際に通常のトラフィックの外をキャッチだと思っていますか?
それはしくみ
何logwatchのは、非常によくて、人間がフォローしやすいフォーマットにデータを再編成することを許可されていません。 その本当の強さはそれはあなたが予期しないログエントリが痛む親指のように目立つように、方法(ノーマルまたは悪)から理解するものを移動することを可能にするということです。 言い換えると、Logwatchは、珍しいものが発見しやすいように、あなたのログエントリを要約することができます。
私が本当にlogwatchので気に入って使用すると、何も失われないということです。 多くのログのレビューツールはあなたの邪悪なものとしてあらかじめ定義されているものが表示されます。 問題は、これらのすべてのシェアはそれが右の線の下に飛んで、悪が予期せぬ何かが発生したときのことです。 logwatchのは、すべてを参照できるため、あなたは、もはや予想外に逃さない。
アクションでlogwatchの
logwatchのは、使用してどのように動作するかを議論することができますSSHの例として、サーバのサービスを。 SSHに対処するためのスクリプトはすでにlogwatchの内で定義されているので、我々が議論しようとしている機能を受信するために、任意の微調整を行う必要はありません。
ログファイルを確認するときは、まず最初のlogwatchのない、そのメッセージタイプに基づいてログエントリを再編成です。 例えば、成功したすべてのSSHのログオンはグループ化だけでなく、あまりにも多くのログオンの失敗、すべてのSSHのメッセージがそれらのによってグループ化されると、接続、ロックされたアカウント、適切なシェルのないアカウント、プロトコルミスマッチ、等等等を拒否されますタイプ、データは、報告される情報の量を減らすために要約されます。
たとえば、デフォルトではアカウントと送信元IPによってログオン試行の失敗を端的に表すことです。 だから典型的な失敗したログオンのレポートセクションは次のようになります。
これらからのログイン失敗:
1.2.3.4からbsmith /パスワード:637時間(s)
1.2.3.5からjsmithの/パスワード:2時間(秒)
そうではなく、不正なログオンの試みを報告する639ログエントリを確認しなくても、我々は3ライン(あなたがタイトルを含める場合)にまとめ、すべての関連情報を持っている。 他のSSHメッセージのすべてに対してこのプロセスを継続し、我々は劇的に私達のログを確認するために必要な時間の量を削減しました。
しかし、何かがlogwatchのを認識するようにあらかじめプログラムされていないことは何が起こる場合は? 予期しないログエントリが見つかった場合、Logwatchは、"比類のないエントリ"と呼ばれるサービスのレポートの最後にセクションを追加します。 我々はSSHサーバのセクションでこのタイトルを見ればそう、我々はいくつかのイベントがSSHサービスのいずれかの異常なまたは予期しないであることが発生している知っている。 これは非常によく我々が気づいていないことが攻撃の何らかの形で触れている可能性があります。
比類のないエントリのセクションでの焦点を当てることにより、我々はすぐに予想外の活動を識別することができます。 私は前述したように、これは本当に毎日のログレビューを行うための主な目標です。 私たちは警告するシステムを越えてこっそりとなる期待していないものを見つけるまで。 Logwatchは、可能な限り迅速かつとしてこの処理が楽になります。
機能の概要
上記の例では、私は毎日のログレビューを行うについて話しましたが、正直logwatchのようにする高度にカスタマイズ可能です。 あなたが1秒間隔にダウン使用したい任意の範囲を指定することができます。 例えば、私が侵入を調査するのではなく、毎日のログレビューを行っていると言ってみましょう。 私は興味私をその情報に基づいて右に集中する"、その時間の2010年2月14日午後05時〇五分00秒"などの範囲を指定できます。 私も1つの特定のログファイルまたはサービス上で集中することができます。
レポートの詳細レベルもカスタマイズ可能です。 通常、セキュリティを扱うときには常に報告の最高詳細レベルを望むの習慣になる。 正直に言うと、logwatchのと細部のハイレベルはおそらく、あなたが必要とする以上です。 個人的に私は一般的に媒体のための"MED"に固執し、それは良く動作します。 また、"低"または"高"などのレポートレベルを指定するか、またはより高いレベルの粒度(低= 0、MED = 5、高= 10)0〜10の数値の範囲を使用することができます。
logwatchのは、自動または手動のプロセスとして実行することができます。 通常は、毎日自動的に実行し、ログエントリの1日分の集計にそれを設定することになるでしょう。 あなたがこれまでにレポートを拡大または焦点を合わせる必要がある場合は、表示したい正確に指定する際は、必ずコマンドラインからlogwatchのを実行することができます。 その後、レポートの名前と保管用のディレクトリの場所を指定するには、"セーブ"オプションを使用することができます。
今後さらに
上記はあなたのlogwatchのは、テーブルにもたらすことができる機能のような良いアイデアを与える必要があります。 次の投稿で私は、同じレベルの詳細にOSSECを説明します。 その後、私はそれぞれのツールをインストールする方法だけでなく、それらを一緒に統合する方法になるでしょう。
関連のポスト:
