 |
| cat /etc/logrotate.conf |
| |
Visualizza il contenuto del file
di configurazione |
| last |
| |
Utilizzando il file /var/logwtmp
visualizza la lista degli utenti che si sono loggati sul sistema. |
| tail -f /var/log/file.log |
| |
Comando sempre utile per verificare
in tempo reale, tramite il log specificato, il comportamento
del sistema. |
| logwatch --service ftd-xferlog
--range all --detail high --print --archives |
| |
Visualizza tutti i trasferimenti
FTP registrati nei xferlog attuali e archiviati . |
| logwatch --service pam-pwdb --range
yesterday --detail high --print |
| |
Visualizza informazioni sui login
nel giorno precedente. |
|
 |
| Il file wtmp non è visibile
e modificabile con i comuni comandi shell |
|
La gestione e l'analisi dei log è un'attività
sistemistica che richiede le sue attenzioni.
Su macchine ad alto traffico, o sotto attacco DOS o con particolari problemi
ricorrenti, le dimensioni dei log possono crescere a dismisura in pochissimo
tempo, fino a saturare il file system.
Per questo motivo è sempre consigliabile montare la directory /var
in una partizione indipendente, che, anche se riempita, non blocca il
funzionamento del sistema.
E' inoltre importante poterli gestire, ruotandoli ad intervalli fissi
e compattando i log vecchi.
Può essere utile anche monitorare i log con
opportune applicazioni che possano avvertire il sysadm quando si verificano
determinate condizioni.
| logrotate |
|
Logrotate è un'applicazione che semplifica l'amministrazione
dei log, permette di comprimere, rimuovere ed inviare il log via
mail oltre a eseguire una rotazione di file con vari criteri.
Il file di configurazione è /etc/logrotate.conf
In sistemi che usano RPM , solitamente, le regole di gestione
dei singoli log sono inserite nella directory /etc/logrotate.d/.
Generalmente gli script che eseguono
logrotate sono inseriti nel crontab.
|
| Log analysys tools |
|
Esistono diversi strumenti per analizzare i log e verificare se
contengono informazioni critiche o se sono stati in qualche modo
modificati (traccia di una potenziale intrusione esterna).
Logwatch è un sistema di monitoring dei log customizzabile
ed estendibile che permette l'analisi dei log di sistema e la notifica
via email all'amministratore. Una volta installato l'RPM, il file
di configurazione è /etc/log.d/conf/logwatch.conf
Nella directory /etc/log.d/conf/services/
ci sono le configurazioni per i diversi servizi i cui log possono
essere processati da logwatch, in /etc/log.d/conf/logfiles/
ci sono le configurazioni sui log relativi ai servizi, in /etc/log/scripts/
ci sono i filtri predefiniti per analizzare diversi servizi e logfiles.
|
|
