Swatchdog - Linux-da hakyky wagtda ýönekeý log faýl synçysy


Swatchdog (\ pleönekeý WATCH DOG) Linux ýaly Unix ýaly ulgamlarda işjeň gündelik faýllara gözegçilik etmek üçin ýönekeý Perl skriptidir. Sazlamalaryňyzy konfigurasiýa faýlynda kesgitläp boljak adaty sözlemlere esaslanýar. Ony işledip bilersiňiz. buýruk setirinden ýa-da fonda, daemon re modeim opsiýasyny ulanyp islendik terminaldan aýrylýar.

Programmanyň ilkibaşda swatch (\ pleönekeý synçy) diýlip atlandyrylandygyna üns beriň, ýöne köne Şweýsariýa sagat kompaniýasynyň adyny üýtgetmek haýyşy döredijiniň adyny swatchdog diýip üýtgetmegine sebäp boldy.

Möhümi, “swatchdog” “Unix” -iň syslog desgasynda öndürilen surnallary görmek üçin skriptden ösdi we islendik görnüşdäki ýazgylara gözegçilik edip biler.

Swatch-y Linux-da nädip gurmaly

“Swatchdog” bukjasy, esasy Linux paýlanyşynyň resmi ammarlaryndan görkezilişi ýaly paket dolandyryjysynyň üsti bilen “swatch” bukjasy hökmünde gurmak üçin elýeterlidir.

$ sudo apt install swatch	[On Ubuntu/Debian]
$ sudo yum install epel-release && sudo yum install swatch	[On RHEL/CentOS]
$ sudo dnf install swatch	[On Fedora 22+]

Swatchdog-yň iň soňky wersiýasyny gurmak üçin, islendik Linux paýlanyşynda aşakdaky buýruklary ulanyp, çeşmeden düzmeli.

$ git clone https://github.com/ToddAtkins/swatchdog.git
$ cd swatchdog/
$ perl Makefile.PL
$ make
$ sudo make install
$ sudo make realclean

Swatchy guranyňyzdan soň, haýsy aňlatma nagyşlaryny gözlemelidigini we haýsy hereketleriň (görnüşleriň) bolmalydygyny kesgitlemek üçin konfigurasiýa faýlyny döretmeli (deslapky ýeri /home/$USER/.swatchdogrc ýa-da .swatchrc). nagyş gabat gelende alynmaly.

$ touch /home/tecmint/.swatchdogrc
OR
$ touch /home/tecmint/.swatchrc

Bu faýla yzygiderli aňlatmaňyzy goşuň we her setirde boşluk ýa-da deň (=) belgisi bilen bölünen açar söz we baha (käwagt islege bagly) bolmaly. Bir nagyş we nagyş gabat gelende edilmeli çäreleri görkezmeli.

Simpleönekeý konfigurasiýa faýly ulanarys, meselem swatchdog adam sahypasynda has köp wariant tapyp bilersiňiz.

watchfor  /sudo/
	echo red
	[email , subject="Sudo Command"

Bu ýerde yzygiderli aňlatma sözme-söz setirdir - “sudo”, sudo ýazgy faýlynda peýda bolanda, terminala gyzyl tekstde çap ediljekdigini we poçta bilen edilmeli çäräni görkezjekdigini aňladýar. terminalda nagyş we görkezilen adrese e-poçta iberiň.

Ony düzeniňizden soň, swatchdog/var/log/syslog log faýlyny adaty ýagdaýda okaýar, bu faýl ýok bolsa/var/log/habarlary okaýar.

$ swatch     [On RHEL/CentOS & Fedora]
$ swatchdog  [On Ubuntu/Debian]

Aşakdaky mysalda görkezilişi ýaly -c baýdagyny ulanyp başga bir konfigurasiýa faýly görkezip bilersiňiz.

Ilki bilen swatch konfigurasiýa katalogyny we faýl dörediň.

$ mkdir swatch
$ touch swatch/secure.conf

Ondan soň, şowsuz giriş synanyşyklaryna, şowsuz SSH giriş synanyşyklaryna,/var/log/safe log faýlyndan üstünlikli SSH girişlerine gözegçilik etmek üçin faýlda aşakdaky konfigurasiýany goşuň.

watchfor /FAILED/
echo red
[email , subject="Failed Login Attempt"

watchfor /ROOT LOGIN/
echo red
[email , subject="Successful Root Login"

watchfor /ssh.*: Failed password/
echo red
[email , subject="Failed SSH Login Attempt"

watchfor /ssh.*: session opened for user root/ 
echo red
[email , subject="Successful SSH Root Login"

Indi -c ulanyp konfigurasiýa faýlyny görkeziň we görkezilişi ýaly -t baýdagyny ulanyp hasaba alyş faýlyny görkeziň.

$ swatchdog -c ~/swatch/secure.conf -t /var/log/secure

Fonda işletmek üçin --daemon baýdagyny ulanyň; bu tertipde islendik terminaldan aýrylýar.

$ swatchdog ~/swatch/secure.conf -t /var/log/secure --daemon  

Swatch konfigurasiýasyny barlamak üçin, dürli terminaldan serwere girmäge synanyşyň, Swatchdog-yň işleýän terminalynda aşakdaky çykyşy görýärsiňiz.

*** swatch version 3.2.3 (pid:16531) started at Thu Jul 12 12:45:10 BST 2018

Jul 12 12:51:19 tecmint sshd[16739]: Failed password for root from 192.168.0.103 port 33324 ssh2
Jul 12 12:51:19 tecmint sshd[16739]: Failed password for root from 192.168.0.103 port 33324 ssh2
Jul 12 12:52:07 tecmint sshd[16739]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jul 12 12:52:07 tecmint sshd[16739]: pam_unix(sshd:session): session opened for user root by (uid=0)

Şeýle hem, dürli gündelik faýllaryna gözegçilik etmek üçin birnäçe swatch amallaryny işledip bilersiňiz.

$ swatchdog -c ~/site1_watch_config -t /var/log/nginx/site1/access_log --daemon  
$ swatchdog -c ~/messages_watch_config -t /var/log/messages --daemon
$ swatchdog -c ~/auth_watch_config -t /var/log/auth.log --daemon

Has giňişleýin maglumat üçin swatchdog adam sahypasyna göz aýlaň.

$ man swatchdog

Swatchdog SourceForge ammary: https://sourceforge.net/projects/swatch/

Aşakda peýdaly boljak käbir goşmaça gözegçilik gollanmalary bar:

  1. Log faýllaryny hakyky wagtda görmegiň ýa-da gözegçilik etmegiň 4 usuly
  2. Rsyslog bilen merkezleşdirilen log serwerini nädip döretmeli
  3. Serweriň Log.io Tool
  4. bilen hakyky wagtda girmegine gözegçilik ediň
  5. lnav - Linux terminalyndan Apache surnallaryny görüň we derňäň
  6. ngxtop - Linux-da hakyky wagtda Nginx Log Faýllaryna gözegçilik ediň

Swatchdog, Linux ýaly Unix ýaly ulgamlar üçin ýönekeý işjeň gündelik faýl gözegçilik guralydyr. Synap görüň we pikirleriňizi paýlaşyň ýa-da teswirler bölüminde sorag beriň.