Jag har nyligen haft en elev frågar mig en fråga om integration av logwatch med OSSEC. Jag kände mig som det var en komplex och ändå tillräckligt svalt tanken att det motiverade en serie av inlägg för att täcka det fullt ut. Så under de närmaste dagarna ska jag tala om vart och ett av dessa verktyg, hur man kan integrera dem tillsammans, samt vilka ytterligare säkerhetsåtgärder synlighet kan vinnas när processen är klar.
Vad är logwatch?
Logwatch är ett utmärkt open source-verktyg för att skapa dagliga läsbara loggar rapporter. Logga poster tenderar att hamna i en av tre kategorier:
- Stuff ni vet är ond
- Stuff ni vet är normalt och kan ignoreras
- Allt annat
Det är att "allt annat" kategori där logwatch verkligen skiner. För de saker vi vet är ont, kommer vi att ställa någon form av larmsystem. Vi kan till exempel skriva en registrering signatur som varnar säkerheten analytiker när ett konto håller på att brutalt tvingas. Men hur attackerna vet vi inte om eller inte vet hur de ser ut? Detta skulle vara ett tydligt exempel på att "allt annat" kategori. Trafiken är inte normalt, men vi har inte sett det förut att ha en signatur som väntar på att generera en varning. Eftersom vi inte kommer att kunna fånga attacken i realtid, kommer vi att behöva fånga den under en daglig logg översyn.
Naturligtvis problemet med att göra dagliga log betyg är att det är jobbigt och tidskrävande. Jag menar låt oss vara ärliga, vill som verkligen att tillbringa sin dag över en miljon plus poster logg? Även om du gjorde det, är du säker på att du faktiskt skulle fånga utöver det vanliga trafiken?
Hur det fungerar
Vad logwatch gör mycket väl tillåter dig att organisera dina data till ett format som är lättare för människor att följa. Dess verkliga styrka är att det tillåter dig att flytta grejer du förstår ur vägen (normal eller onda), så att det oväntade loggposterna sticker ut som en öm tumme. Med andra ord kan logwatch du summera din loggposter så ovanliga grejer är lättare att upptäcka.
Vad jag verkligen gillar med logwatch är att du inte förlorar någonting. Många log över verktygen kommer bara att visa dig saker som har varit tidigare definierade som är onda. Problemet de alla har gemensamt är att när något ont, men oväntat händer, flyger det rätt under tråd. Eftersom logwatch kan du se allt du inte längre missa det oväntade.
Logwatch I Action
Låt oss diskutera hur logwatch fungerar med hjälp av SSH- servern tjänsten som ett exempel. Skript för att hantera SSH redan har definierats inom logwatch, så du behöver inte göra någon anpassning för att få de funktioner vi kommer att diskutera.
När du granskar en loggfil, är det första logwatch inte omorganisera loggposter baserat på deras meddelandetyper. Till exempel alla framgångsrika SSH-inloggningar är samlade, liksom alltför många inloggning misslyckanden, vägrade anslutningar, låsta konton, utan en ordentlig skal, protokoll mis-matcher etc. etc. etc. konton När alla SSH-meddelanden är grupperade efter typ är data sammanfattade sedan för att minska den mängd information som rapporteras.
Till exempel är det standard att sammanfatta misslyckade inloggningsförsök per konto och källa IP. Så en typisk misslyckats inloggning rapport avsnitt kan se ut så här:
Misslyckades inloggningar från dessa:
bsmith / lösenord från 1.2.3.4: 637 (s)
jsmith / lösenord från 1.2.3.5: 2 (s)
Så snarare än att behöva se över 639 loggposter rapporterar en dålig inloggningsförsök, vi har all relevant information sammanfattas i tre rader (om du inkluderar titeln). Fortsätt denna process för alla andra SSH budskap, och vi har dramatiskt minskat den tid som krävs för att granska våra loggar.
Men vad händer om något händer som logwatch inte är förprogrammerad att känna igen? När ett oväntat loggpost hittas, lägger logwatch ett avsnitt i slutet av tjänsten rapport kallad "Oöverträffad Entries". Så om vi ser en sådan avdelning i SSH-servern avsnittet, vi vet något har inträffat som antingen är onormal eller oväntad för SSH-tjänsten. Detta kan mycket väl vara någon form av attack som vi inte är medvetna är att göra rundor.
Genom att fokusera på den oöverträffade Fält för särskilda uppgifter, kan vi snabbt identifiera oväntade aktivitet. Som jag sa tidigare, är detta verkligen det viktigaste målet för att göra dagliga log recensioner. För att hitta de saker vi förväntar oss inte som kommer att smyga förbi våra larmsystem. Logwatch gör denna process så snabbt och smärtfritt som möjligt.
Feature Sammanfattning
I ovanstående exempel har jag pratat om att göra varje dag loggar recensioner, men för att vara ärlig logwatch är mycket anpassningsbar. Du kan ange valfri intervall du vill använda ned till ett intervall på en sekund. Till exempel låt oss säga att jag undersöker ett intrång istället för att genomföra en daglig logg översyn. Jag kunde ange ett intervall som "2010/02/14 17:05:00 för den timmen" att fokusera rätt i den information som intresserar mig. Jag kan också fokusera på en viss loggfil eller tjänst.
Detaljnivån i rapporten är också anpassningsbara. Vanligtvis när du handskas med säkerhet får du för vana att alltid vilja högsta detaljnivån för rapportering. För att vara ärlig, med logwatch en hög detaljnivå är förmodligen mer än du någonsin kommer behöva. Personligen håller jag mig oftast med "med" för medium och som fungerar riktigt bra. Du kan även ange rapporteringen nivå som "låg" eller "hög" eller använda ett numeriskt intervall på 0-10 till en högre detaljnivå (låg = 0, med = 5, hög = 10).
Logwatch kan köras automatiskt eller som en manuell process. Vanligtvis kommer du vill ställa in den att köras automatiskt varje dag och sammanfatta en dag värde av loggposter. Om du någonsin behöver expandera eller fokusera rapporten kan du alltid köra logwatch från kommandoraden samtidigt specificera exakt vad du vill se. Du kan sedan använda "-save" för att ange en rapport namn och katalog för lagring.
Mer att komma
Ovanstående bör ge dig en god uppfattning om de funktioner logwatch kan ta med till bordet. I nästa inlägg ska jag diskutera OSSEC på samma detaljnivå. Efter det ska jag få in hur man installerar varje verktyg samt hur man kan integrera dem tillsammans.
Relaterade inlägg:
