Qué registros rastrear regularmente

Ejecuto mi propio servidor en casa para mi sitio web personal con Ubuntu Server con Apache, Bind9 y Django. ¿Qué registros sugeriría que es mejor hacer un seguimiento regular? (en lugar de leer cuando algo sale mal). Estoy pensando en la detección de intentos de intrusión (anteriormente he experimentado errores de SSH) y tráfico o errores inusuales en mi sitio.

Registros de interés:

• / var / log / apache2 / * - registros de apache2 :)
• /var/log/auth.log - intentos de autenticación
• /var/log/daemon.log: los procesos del sistema inician sesión aquí
• / var / log / syslog: todo se registra aquí

Utilizo el paquete logwatch para monitorear el tráfico SMTP y los inicios de sesión SSH, e intentos de autenticación. Está disponible en la mayoría de las distribuciones de Linux, incluido Ubuntu de forma predeterminada.

aptitude install logwatch

En el pasado, también he usado logsurfer +, que es una pieza de software complicada, pero altamente configurable.

Si ninguna de estas herramientas (logwatch, logsurfer +) satisface sus necesidades, hay una gran cantidad de soluciones de administración de registros de varios proveedores. Desde paquetes de software hasta dispositivos dedicados. Aquí hay algunos para comenzar si desea hacer una investigación adicional. No estoy afiliado a ninguna de estas compañías o productos.

• Splunk
• ArcSight
• AlertLogic
• El Instituto SANS tiene muchos recursos adicionales

Sugiero usar OSSEC para monitorear sus registros. Detectará automáticamente los archivos de registro importantes y los supervisará en tiempo real de forma predeterminada.

Si está utilizando Ubuntu, verá todos los registros de autenticación, registros de apache, registros de apt-get (para ver cuándo se instalan nuevas aplicaciones), etc.

Es de código abierto, tiene un equipo de desarrollo activo y es fácil de usar. Migramos a él desde logwatch, porque mira los registros en tiempo real en lugar de hacerlo cada X horas como lo hace el reloj de registro.

Enlace: http://www.ossec.net

Generalmente miro los archivos anteriores, pero principalmente los archivos syslog (/ var / log / messages). Por lo general, configuro syslog-ng para proporcionar un mejor filtrado, y configuro syslog para iniciar sesión como * .debug para que pueda ver todo. Todo esto lo lee un script de shell que tiene sus raíces en logcheck.sh (lo siento, perdí el enlace) y me envía diariamente artículos interesantes. Esto tiene una mayor cantidad de ruido que es difícil de filtrar, pero también uso el nivel de ruido como un control de estado: si el nivel de ruido aumenta o disminuye repentinamente, algo ha cambiado.

Tengo una advertencia sobre logwatch y eso es "qué" buscar. Escribí / uso una herramienta llamada petit para realizar el descubrimiento y la correlación de palabras. Utiliza un par de técnicas simples del procesamiento del lenguaje natural para eliminar las palabras vacías. Esto ayuda a un administrador / analista responsable del análisis de registro a sentirse más seguro de que él / ella está captando todos los eventos que él / ella quiere con logwatch.

Es un problema básico de pollo / huevo de cómo sé lo que necesito buscar hasta que lo haya visto antes. El modo de descubrimiento de palabras de petit ayuda con esto. También proporciona gráficos cli y hashing.

Enlace: http://opensource.eyemg.com/Petit