Советы по настройке

Файл /etc/syslog. conf обычно настраивается по-разному в различных системах. Просто каждая система выполняет какие-то свои функции. Например, почтовый сервер генерирует множество сообщений, связанных с электронной почтой. Сервер FTP генерирует множество аутентификационных сообщений и сообщений о пересылках файлов (записываются в отдельный файл /var/log/xferlog). Короче говоря, при настройке файла /etc/syslog. conf учитывайте роль, которую играет система.

Существуют два принципиальных подхода к формированию журнальных файлов. В первом случае рекомендуется записывать все или почти все сообщения в один файл, чтобы затем обрабатывать его дополнительными утилитами, такими как swatch и logche ck. Во втором случае рекомендуется разграничивать функции журнальных файлов, используя один для хранения аутентификационных сообщений, другой — для внутренних сообщений системы Syslog (средство syslog), третий — для сообщений от средства mail, четвертый — для сообщений от средства user и т.д. Второй подход проще в плане ручной обработки журнальных файлов. Кроме того, можно писать специализированные сценарии для работы с конкретными журнальными файлами. Впрочем, утилиты swatch и logcheck легко адаптируются и к такому подходу.

С точки зрения безопасности нужно настраивать файл /etc/syslog. conf так, чтобы перехватывалась вся информация, необходимая для оповещения администратора о попытках взлома. Определите для себя, какая информация является существенной, а какую можно проигнорировать. В любом случае для полной уверенности нужно просмотреть множество журнальных файлов, и делать это следует каждый день.

После добавления новой записи в файл /etc/syslog.conf протестируйте ее с помощью программы /usr/bin/logger. Например, если создана запись с селектором lосаl2. debug, выполните команду logger -р lосаl2.debug -t TEST "This is a test" и проверьте результат.


Ведете ли вы блог?

Да
Нет
Планирую


Результаты опроса

Новостной блок