FreeBSD logcheck log分析

0.前言 你覺得直接查看messages很複雜嗎? 你可以透過logcheck來幫助減緩痛苦. 官方網站: 1.安裝 路徑:/usr/ports/security/logcheck/ 設定 安裝的過程中,系統出現如下的說明: 照著他的說明操作,不過我為了管理方便,在/usr/local/etc/ 建了 名為logcheck的資料夾集中管理. 結果如圖: 說明:若您像我一樣有修改存放位置，別忘了將logcheck.sh中的相關位置修改喔. 這幾個檔案分別是設定一些可能的攻擊狀況、侵犯行為、及忽略的狀況。 啟動 /usr/local/etc/logcheck/logcheck.sh 不想手動執行，也可以設定cron自動執行 0 * * * * /usr/local/etc/logcheck/logcheck.sh 檢測方式 收root信件(預設送往root),若有相關的訊息則有信件提示。 他會幫您分類類似的相關結果~~ Security Violations =-=-=-=-=-=-=-=-=-= Apr 9 14:38:57 ohaha su: xxxx to root on /dev/ttyp0 Unusual System Events =-=-=-=-=-=-=-=-=-=-= Apr 9 14:00:02 ohaha /kernel: Connection attempt to TCP 163.16.1.99:113 from 163.16.1.1:2731 Apr 9 14:14:53 ohaha /kernel: Connection attempt to TCP 163.16.1.99:113 from 163.16.1.1:2750 Apr 9 14:38:57 ohaha su: xxxx to root on /dev/ttyp0 後續 當然了,並不是所有顯示出來的警告訊息都給全盤接受. 若想要忽略他,只要仿照logcheck.ignore的格式,將不想要顯示的訊息忽略. 如我今天不想要收到關於cucipop的啟動訊息. 我就在剛檔案中,新增一行為cucipop即可. 相對的,若有訊息沒有出現,則可以在logcheck.hacking或logcheck.violations把他補上去. 多試幾次 就能夠找到適合你的方式喔.

原文转自：http://www.ltesting.net