16 Nisan 2008, 07:49 | #1 | |
Çevrimdışı
Kullanıcıların profil bilgileri misafirlere kapatılmıştır.
IF Ticaret Sayısı: (0) | Log Dosyalarını aktif izleme Kullandığımız sistemlerde çalışan çeşitli servisler, süreçler her gün binlerce satır log bırakıyor. Peki bu log dosyalarını inceleyebiliyor muyuz? Kendi adıma rahatlıkla söyleyebilirimki acil durumlar olmadıkca log dosyalarını incelemem.( Tabi bu biraz da yükümlü olduğunuz sistemlerin sayısına bağlı.). Peki bizim haberimiz olmadan sistemler sadece masum loglar mı üretir? Ya da acil durumlar hep biz sistemde iken mi oluşur… Tabi ki hayır , öyle ise log dosyalarını bizim yerimize herdaim gözleyen ve çeşitli durumlarda bize haber veren bir yapıya ihtiyacımız var demektir. Bunun icin isterseniz kendi programınızı/scriptinizi yazarak uygulayabilir isterseniz bu iş için yazılmış ve yıllardır kullanılan stabil bir sistemi kullanırsınız. Tembel ben ikinci sıkkı tercih ederek log dosyalarımı gözetleme ihalemi [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]‘a devrettim… Böylece 100′e yakın sistemde neler oluyor neler bitiyor benim yerime gözetleyen ve acil olarak belirlediğim durumlarda koşa koşa(MTA’lar arasi) bana haber veren bir sistemim oldu. Peki bu swatche ne is yapar? Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. SWATCH, çalışan sistemlerle ilgili yapılan loglama işini aktif değerlendirmek amacı ile kullanılan bir araç. Log dosyalarımızda belirlediğimiz tipte string gördüğünde isteğe bağlı olarak mail gonderimi yapan ya da aksiyon alabilen(sistemde komut çalıştırma gibi)bir yapıya sahip. Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. Kurulum #cd /usr/ports/security/swatch #make && make install swatch öntanımlı olarak $HOME/.swatchrc dosyasını kontrol eder. Kendi oluşturduğunuz bir yapılandırma dosyasını kullanmak isterseniz -c /dosya/yolu seklinde belirtmek gerekir. Ben *BSD sistemlerde /usr/local/etc/swatchrc dosyasini kullaniyorum. Örnekler; Mesela sistem diskinin dolduğu ile ilgili aktif uyarı almak istediğimizi dusunelim. Bunun icin ekteki satırları swatchrc dosyasına kaydedip uygum parametrelerle swatch’i çalıştırmamız yeterlidir. watchfor /file system full/ mail addresses=huzeyfe\\@lifeoverip.net, subject Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir. iskde yer kalmadi Acil! #swatchrc -c /usr/local/etc/swatchrc -t /var/log/messages Sistemimizde ip-mac değişimlerini izlemek için kullandığımız arpwatch tarafından oluşturulan “reused old ethernet address” tipi mesajları mail olarak almak isteyelim. Bunun icin yazacağımız swatch ornegi soyle olacaktır. watchfor /reused old ethernet address/ mail addresses=huzeyfe\\@lifeoverip.net, subject=Sistemde birileri yaramazlık yapiyor! log dosyalarında incelettireceğimiz alanda regexp kullanarak birden fazla kontrol yaptırabiliriz. watchfor / root|toor / bu tanımla icerisinde root ya da toor gecen logları yakalarız. Sisteme yapılan SSH giris deneyimlerinden haberdar olmak icin watchfor /Failed password/ mail addresses=huzeyfe\\@lifeoverip.net, subject=Sisteme giris deneyimi belirli tipteki stringleri haric tutmak icin ignore tanımı kullanılır. ignore /Failed password for root from 80.93.212.86/ ignore tanımlarını swatchrc dosyasının en üstüne yazmakda fayda var. Böylece ignore etmek istediğimiz icerikler alttaki satırlarda işleme sokulmayacaktır. Bunlara ek olarak hangi zaman dilimleri için e-posta gönderileceği, belirli bir zaman dilimi içerisindeki loglar için belirlemek istersek when ve throttle tanımlarını kullanabiliriz. Ek Not: E-posta listelerinde fazlasi ile soruldugundan buraya eklemenin faydali oldugunu dusundugum bir ozellik daha var. swatch ile birden fazla log dosyasini incelettirmek istersek –tail-file=”" kullanabiliriz. swatch -c … –tail-file=” /tmp/procmail /var/log/messages /var/log/auth.log” gibi. [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...] ChayLaK | |
|
Etiketler |
aktif, dosyalarini, dosyalarını, izleme, log |
Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir) | |
| |
Benzer Konular | ||||
Konu | Konuyu Başlatan | Forum | Cevaplar | Son Mesaj |
php ile css dosyalarını sıkıştırmak css compress | hAte | PHP | 0 | 08 Ekim 2014 08:19 |
Büyük boyutlu Sql dosyalarını nasıl yükleriz. | CeSaRCripS | MySQL | 1 | 07 Mayıs 2013 00:36 |
Lighttpd Log Dosyalarını Döndürme | Ocean | GNU, Linux ve UNIX | 0 | 21 Temmuz 2010 23:10 |
Linux altında AVI dosyalarını birleştirmek | Ocean | GNU, Linux ve UNIX | 0 | 22 Ağustos 2008 01:02 |
Kodlarla Oynanınca mIRC Dosyalarını Sildirmek... | erdem55 | mIRC Scripting Sorunları | 24 | 31 Aralık 2005 12:50 |