Укрощаем logcheck

Сегодня поговорим о logcheck — пакете, который, периодически просматривает логи на предмет аномальных записей (попытки взлома, демон стал плохо себя вести и т.д.), и при их обнаружении уведомляет администратора по почте.

По сути это обыкновенный баш-скрипт, с которым поставляется база регулярок на «плохие» и «хорошие» записи.

Для Ubuntu и Debian пакет есть в репозиториях, с CentOS пришлось немного поплясать с бубном. Кто тоже хочет поплясать — вот (солидарен с автором: «One answer to solve a lot of Problems with CentOS is: switch to Debian ;-)»).

По-умолчанию настройки ставятся в /etc/logcheck. Пока нас интересует только logcheck.conf. В SENDMAILTO ставим свой адрес, а в REPORTLEVEL один из трёх уровней: workstation, server или paranoid. Отличает их то, как применяются регулярные выражения для игнорирования записей лога. Там же есть папки ignore.d.paranoid, ignore.d.server и ignore.d.workstation. В каждой из которых находятся файлы со списком egrep-совместимых регулярок. Это разработчики заботливо сгруппировали регулярки по названиям сервисов.

Если в конфиге мы выбираем paranoid, к каждой строке лога применяются регулярки из папки ignore.d.paranoid, если server — из ignore.d.server и ignore.d.paranoid. Ну а для workstation из всех трёх. Наверняка, в большинстве случаев, подойдёт server. Вот, собственно и всё. Если всё настроено верно, в скором времени вы получите первый отчет.

Хоть пакет и включает в себя довольно большую базу безопасных правил, всё равно найдутся сервисы, которые начнут заваливать ящик бесполезными сообщениями, вроде:

1
2
3
4
5
6
7
8
9
10
Mar 24 18:04:39 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:04:39 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:16:24 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:16:24 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:29:54 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:29:54 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:41:30 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:41:30 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8
Mar 24 18:55:48 host vmnet-dhcpd: DHCPREQUEST for 192.168.214.128 from 00:50:56:94:44:34 via vmnet8
Mar 24 18:55:48 host vmnet-dhcpd: DHCPACK on 192.168.214.128 to 00:50:56:94:44:34 via vmnet8

Это виртуальная машина под vmware общается с dhcp своей хост-машины. Ничего здесь криминального нет, и хотелось бы убрать из отчётов эти строки. Так как уровень паранойи у меня выставлен «server», идём в папку /etc/logcheck/ignore.d.server, создаём там файлик vmnet_dhcpd и вписываем в него, например, такое:

1
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ vmnet-dhcpd: .*$

То есть я совсем запретил кормить меня сообщениями от vmnet-dhcpd.

Вуаля, теперь не тратим время на просмотр всякого мусора.

Оставить комментарий