ljhvs @Wiki
ログファイルの監視
最終更新:
匿名ユーザー
-
view
目的
システムに問い合わせを行い、今何が起きているか具体的な情報を得る。
(潜在的な問題が表面化する前に検出する方法や、致命的な障害が発生したときに自動的に対処させる方法までいければ吉)
システムに問い合わせを行い、今何が起きているか具体的な情報を得る。
(潜在的な問題が表面化する前に検出する方法や、致命的な障害が発生したときに自動的に対処させる方法までいければ吉)
■Syslogの出力先の制御
syslogは通常/var/log/messagesに集められる。 これを変更するためには /etc/syslog.conf を見直す必要があり。
リンク:システム管理の基礎 syslogdの設定をマスターしようhttp://www.atmarkit.co.jp/flinux/rensai/root03/root03b.html
~初級セキュリティ管理者必見~連載:不正侵入の手口と対策http://www.atmarkit.co.jp/fsecurity/rensai/iprotect01/iprotect01.html
syslogは通常/var/log/messagesに集められる。 これを変更するためには /etc/syslog.conf を見直す必要があり。
リンク:システム管理の基礎 syslogdの設定をマスターしようhttp://www.atmarkit.co.jp/flinux/rensai/root03/root03b.html
~初級セキュリティ管理者必見~連載:不正侵入の手口と対策http://www.atmarkit.co.jp/fsecurity/rensai/iprotect01/iprotect01.html
■永崎さん
某kドメインにて、「telnetとsshでアクセスしてきたホストのうち、ログインはしなかったホスト名をリストするスクリプト」を作成。要するに、これまでtcp_wrapperのログを目でみてなんとなく確認していたものを、wtmpのログと比較して、実際にログインできなかったやつをリストしてしまえ、というもの。「少なくとも、ログインできないのにport22とか23とかに何度もアクセスしてくるようなホストは怪しいはず」という話。
tcp_wrapperでアクセス制限をかけているホストについては問題ないのだが、ネットワーク単位で許可してあるところからの怪しげなアクセスを検知するにはどうしたものか、と思っていたのである。ま、そんなにたいしたものではないのだが。ログの更新に同期させて動かせばちょっと便利かも。 Solaris2でtcp_wrapperなホストならどこでも使えるのであちこちにいれて使ってみようかと思っている。
某kドメインにて、「telnetとsshでアクセスしてきたホストのうち、ログインはしなかったホスト名をリストするスクリプト」を作成。要するに、これまでtcp_wrapperのログを目でみてなんとなく確認していたものを、wtmpのログと比較して、実際にログインできなかったやつをリストしてしまえ、というもの。「少なくとも、ログインできないのにport22とか23とかに何度もアクセスしてくるようなホストは怪しいはず」という話。
tcp_wrapperでアクセス制限をかけているホストについては問題ないのだが、ネットワーク単位で許可してあるところからの怪しげなアクセスを検知するにはどうしたものか、と思っていたのである。ま、そんなにたいしたものではないのだが。ログの更新に同期させて動かせばちょっと便利かも。 Solaris2でtcp_wrapperなホストならどこでも使えるのであちこちにいれて使ってみようかと思っている。
