今天早上我发现我的网络服务器遭到了蛮力攻击。我只是在随机检查我的 /var/log/auth.log 文件并看到传入请求时才发现这一点。有人对我应该在我的 Apache 网络服务器上阅读哪些日志文件有任何建议吗?除此之外,是否值得通过电子邮件将日志通过电子邮件发送给自己,以便我在闲暇时阅读,如果是的话,最简单的方法是什么?
AskOverflow.Dev
今天早上我发现我的网络服务器遭到了蛮力攻击。我只是在随机检查我的 /var/log/auth.log 文件并看到传入请求时才发现这一点。有人对我应该在我的 Apache 网络服务器上阅读哪些日志文件有任何建议吗?除此之外,是否值得通过电子邮件将日志通过电子邮件发送给自己,以便我在闲暇时阅读,如果是的话,最简单的方法是什么?
OSSEC之类的工具确实可以帮助您在这些事情发生时抓住它们,而不是在第二天发现它们。
除此之外,我继续使用 logwatch 只是为了存档摘要,我可以通过我的邮件客户端快速搜索。
Logwatch 将扫描并邮寄日志的详细信息。如果您甚至需要查看旧状态,这对于归档目的非常有用。较大的生产机器往往需要对输出进行一些过滤。
此外,安装 denyhosts 或类似工具以阻止尝试。
只需使用 logcheck 或 logwatch(我更喜欢 logcheck,我自己)来过滤掉所有你不想看到的东西,然后其余的将通过电子邮件发送给你。非常有用,应该在每台服务器上运行。
检查底部
/etc/aliases并在底部添加您的电子邮件地址:确保 sendmail 或 postfix 正常工作,以便您真正收到电子邮件。
根据您要监控的盒子数量,您可能需要研究集中式日志监控系统。我个人甚至将它用于小型部署,只是因为它更方便让我的所有日志(不仅仅是 apache)集中访问和搜索。
像Splunk这样的工具使使用起来非常简单和愉快。