日志检查工具——Logcheck

November 18th, 2006

日志检查工具——Logcheck

　　Logcheck是用来自动检查系统安全入侵事件和非正常活动记录的工具，它分析各种Linux下的日志文件，比如前文所介绍过的 /var/log/messages、/var/log/secure、/var/log/maillog等等，然后生成一个可能有安全问题的问题报告自动发送电子邮件给管理员。能设置它基于每小时或者每天用crond来自动运行。

　　Logcheck是一个软件包，用来实现自动检查日志文件，以发现安全入侵和不正常的活动。Logcheck用logtail程序来记录读到的日志文件的位置，下一次运行的时候从记录下的位置开始处理新的信息。所有的源代码都是公开的，实现方法也非常简单。

　　Logcheck SHELL脚本和logtail.c程序用关键字查找的方法进行日志检测。在这儿提到的关键字就是指在日志文件中出现的关键字，会触发向系统管理员发的报警信息。Logcheck的配置文件自带了缺省的关键字，适用于大多数的Unix系统。但是最好还是自己检查一下配置文件，看看自带的关键字是否符合自己的需要。

　　Logcheck脚本是简单的SHELL程序，logtail.c程序只调用了标准的ANSI C函数。Logcheck要在cron守护进程中配置，至少要每小时运行一次。脚本用简单的grep命令来从日志文件检查不正常的活动，如果发现了就发送电子邮件给管理员。如果没有发现异常活动，就不会收到电子邮件。

　　logcheck工具的主页在http://logcheck.org/，用户可以在上面下载其最新版本： logcheck-1.1.1.tar.gz。下载后用tar xvfz logcheck-1.1.1.tar.gz命令解开到一临时目录下，然后用make linux自动生成相应的文件到/usr/local/etc、/usr/local/bin/等目录下。用户可能需要更改设置，如发送通知到谁的邮件账号等，默认发送到root。

　　利用logcheck工具分析所有logfile，避免每天经常手动地检查它们，节省了时间，提高了效率。

Last modified at: Saturday, November 18th, 2006 03:55:14 pm
Trackback URL: http://blog.zhangjianfeng.com/article/493/trackback

给本文打分: 1 Star