सिस्टम लॉग फ़ाइलों में समस्याएं और सुरक्षा उल्लंघनों को स्पॉट करने के लिए लॉगचेक का उपयोग करें [लिनक्स]

यह एक अविश्वसनीय तथ्य है कि लॉग सॉफ़्टवेयर या सिस्टम समस्याओं के साथ-साथ दुर्भावनापूर्ण गतिविधियों को उजागर करने में एक महत्वपूर्ण भूमिका निभाते हैं। हालांकि, उनमें से प्रत्येक में बहुत से लॉग फाइलें और बहुत सारी जानकारी के साथ, सिस्टम प्रशासकों के लिए उन्हें सही तरीके से विश्लेषण करने में थोड़ा मुश्किल हो जाता है।

हालांकि कई टूल उपलब्ध हैं जो लॉग का विश्लेषण करने और सार्थक जानकारी का उत्पादन करने में सक्षम हैं, यदि आप एक अच्छा कमांड लाइन विकल्प ढूंढ रहे हैं, तो मैं सुझाव दूंगा कि आप लॉगचेक का उपयोग करें। इस आलेख में, हम इस कमांड की मूलभूत बातें इसके साथ प्रदान की जाने वाली सुविधाओं के साथ चर्चा करेंगे।

परिचय

हालांकि लॉगचेक के आधिकारिक दस्तावेज़ीकरण में कहा गया है कि यह "रोचक रेखाओं" के लिए सिस्टम लॉग स्कैन करता है, यह इस बात पर जोर देने योग्य है कि ये "रोचक रेखाएं" वास्तव में समस्याएं और सुरक्षा उल्लंघन हैं जो उपकरण का पता लगाती हैं।

उपकरण मूल रूप से फ़िल्टरिंग के तीन स्तरों का समर्थन करता है:

• सर्वर : डिफ़ॉल्ट स्तर जिसमें कई अलग-अलग डिमन्स के नियम शामिल हैं।
• पैरानोइड : उच्च स्तर की सेवाओं के लिए उपयुक्त स्तर जितनी संभव हो उतनी सेवाओं के लिए उपयुक्त है - यदि आप अपने वर्बोज़ संदेशों को संभाल नहीं सकते हैं तो इसका उपयोग न करें।
• वर्कस्टेशन : आश्रय मशीनों के लिए एक स्तर उपयुक्त है क्योंकि यह अधिकांश संदेशों को फ़िल्टर करता है।

डिफ़ॉल्ट रूप से, लॉगचेक घंटे के ठीक पहले और हर रीबूट के बाद एक घंटे का क्रोनबॉज के रूप में चलता है और परिणाम आपको ई-मेल में भेजता है।

डाउनलोड करो और इंस्टॉल करो

उबंटू जैसे डेबियन-आधारित सिस्टम के उपयोगकर्ता निम्न आदेश को निष्पादित करके आसानी से लॉगचेक इंस्टॉल कर सकते हैं:

 sudo apt-logcheck स्थापित करें 

कमांड लाइन उपकरण को स्थापित करने का यह अनुशंसित तरीका है क्योंकि यह आपके लिनक्स वितरण के भंडार में पहले से मौजूद संस्करण स्थापित करेगा। वैकल्पिक रूप से, आप इसे अपनी प्रोजेक्ट वेबसाइट से डाउनलोड करके उपयोगिता भी इंस्टॉल कर सकते हैं।

विन्यास

पहली बार लॉगचेक कमांड का उपयोग करने से पहले, आपको "/ etc / logcheck" निर्देशिका के अंदर स्थित "logcheck.conf" फ़ाइल को देखना चाहिए क्योंकि इसमें वेरिएबल सेटिंग्स हैं जिन्हें आप अपनी आवश्यकताओं के अनुसार बदलना चाहते हैं।

यहां इस फ़ाइल के कुछ स्नैपशॉट दिए गए हैं:

जैसा कि आप देख सकते हैं, कुछ चर उनके डिफ़ॉल्ट मानों के साथ सक्रिय हैं जबकि अन्य टिप्पणी की जाती हैं। आप अपनी आवश्यकताओं के अनुरूप बदलाव कर सकते हैं। उदाहरण के लिए, मैंने DATE के साथ-साथ ATTACKSUBJECT, SECURITYSUBJECT, और EVENTSSUBJECT चर को भी असम्बद्ध किया, और SENDMAILTO चर के मान को मेरे ईमेल पते में बदल दिया।

"Logcheck.conf" के अलावा, एक ही निर्देशिका में मौजूद "logcheck.logfiles" फ़ाइल भी होती है जिसमें लॉग फ़ाइलों की एक सूची होती है जिसे लॉगचेक कमांड द्वारा चेक किया जाएगा।

आप इस फ़ाइल में और लॉग फाइल जोड़ सकते हैं, लेकिन सुनिश्चित करें कि प्रत्येक प्रविष्टि को एक अलग पंक्ति में जोड़ा गया है।

प्रयोग

लॉगचेक कमांड का उपयोग कैसे किया जा सकता है इसके कुछ उदाहरण यहां दिए गए हैं:

नोट : इस आलेख में प्रस्तुत सभी उदाहरणों का परीक्षण उबंटू 14.04 पर किया गया है।

तुरंत ईमेल भेजें

जबकि लॉगचेक डिफ़ॉल्ट रूप से ईमेल को समय-समय पर भेजता है, तो आप इसे तुरंत भेजने के लिए मजबूर करने के लिए -m विकल्प का उपयोग कर सकते हैं। उदाहरण के लिए, जब मैंने निम्न आदेश निष्पादित किया:

 logcheck -m 

निम्नलिखित ईमेल को मेरे इनबॉक्स में वितरित किया गया था:

नोट :
1. आप ईमेल के विषय में उस होस्टनाम का उपयोग करने के लिए होस्ट विकल्प के बाद -h विकल्प का उपयोग कर सकते हैं।

2. आप ईमेल के बजाए रिपोर्ट को stdout पर भेजने के लिए -o विकल्प का उपयोग कर सकते हैं।

डिफ़ॉल्ट लॉगफाइल और कॉन्फ़िगरेशन फ़ाइल सूचियों को ओवरराइड करें

जैसा कि पहले से ही चर्चा की गई है, डिफ़ॉल्ट रूप से, लॉगचेक कमांड लॉग इन फ़ाइलों को पढ़ने और क्रमशः इसकी कॉन्फ़िगरेशन सेटिंग्स को पढ़ने के लिए "/etc/logcheck/logcheck.logfiles" और "/etc/logcheck/logcheck.conf" फ़ाइलों का उपयोग करता है। लेकिन आप इस व्यवहार को बदल सकते हैं और कमांड को -L और -C विकल्पों का उपयोग कर किसी अन्य स्थान पर स्थित फ़ाइलों को पढ़ सकते हैं।

उदाहरण के लिए, निम्न आदेश मेरी होम निर्देशिका में स्थित "mylogcheck.conf" पढ़ेगा:

 logcheck -C /home/himanshu/mylogcheck.conf 

इसी प्रकार, निम्न आदेश मेरी होम निर्देशिका में मौजूद "mylogcheck.logfiles" पढ़ेगा:

 logcheck -L /home/himanshu/mylogcheck.logfiles 

नोट : आप डिफ़ॉल्ट नियम निर्देशिका को ओवरराइड करने के लिए निर्देशिका नाम के बाद -r कमांड लाइन विकल्प का भी उपयोग कर सकते हैं।

-t विकल्प का उपयोग कर लॉगफाइल ऑफ़सेट बनाए रखें

लॉगचेक कमांड "लॉगटेल" नामक प्रोग्राम का उपयोग करता है जो लॉग फ़ाइल में पिछली स्थिति को पढ़ता है। लेकिन अगर आप परीक्षण मोड में कमांड को चलाने के लिए चाहते हैं, यानी लॉगफाइल ऑफ़सेट अपडेट किए बिना, आप -t विकल्प का उपयोग कर सकते हैं।

निम्न आदेश सुरक्षा चिंताओं या उल्लंघनों की रिपोर्ट करेगा लेकिन ऑफ़सेट अपडेट नहीं करेगा:

 logcheck -t 

इस कमांड के बारे में अधिक जानकारी के लिए, अपने मैन पेज के माध्यम से जाएं।

निष्कर्ष

लॉगचेक न केवल उपयोग करने के लिए आसान है, बल्कि यह भी अत्यंत अनुकूलन योग्य है। मैं कहूंगा कि यह मुख्य रूप से इसकी क्षमताओं के कारण किसी भी सिस्टम प्रशासक के लिए एक उपकरण होना चाहिए। क्या आपने कभी लॉगचेक का उपयोग किया है? आपका अनुभव कैसा रहा? नीचे टिप्पणी में अपने विचारों को साझा करें।