Herramienta Logcheck: monitoree la actividad de registro del sistema Kali Linux

Posted on by Rudeus Greyrat

Logcheck es un paquete o herramienta para verificar los archivos de registro del sistema en busca de violaciones de seguridad y actividad inusual. Utiliza el programa llamado logtail que recuerda la última posición que se lee del archivo de registro. Analiza la seguridad o la actividad inusual de syslog para monitorear los archivos de registro de Apache en busca de errores causados ​​por PHP Scripts. Logcheck se utiliza para detectar problemas automáticamente en los archivos de registro y los resultados se envían por correo electrónico. Se ejecuta como cronjob fuera de hora y después de cada reinicio

La herramienta tiene tres modos de filtrado:

  • Servidor: nivel predeterminado que contiene diferentes demonios
  • Paranoico: las máquinas de alta seguridad se ejecutan como servicio en este nivel y también es detallado.
  • Puesto de trabajo: Nivel para máquinas protegidas, filtrado de mensajes.

Instalación de Logcheck:

El paquete/repositorio de logcheck ya está instalado en la distribución de Ubuntu/Debian, solo use el comando apt-get para instalar Logcheck en Linux y luego iniciará automáticamente el proceso de descarga y las dependencias. 

$ apt-get install logcheck

Un método alternativo para instalar esto es descargando la versión logcheck-1.1.12.tar.gz y luego instalando la herramienta logcheck usando el comando tar xvf .

tar xvf logcheck-1.1.12.tar.gz
cd logcheck-1.1.12
make
make install

Podemos usar directamente logcheck desde la terminal sin instalación con la ayuda de sudo o nosotros, por lo que podemos cambiar la identificación del usuario y también verifica los archivos de registro sin que se actualice la compensación.

Los parámetros utilizados aquí se describen a continuación,

  • -u – habilitación del resumen de syslog 
  • -o – modo STDOUT, no enviar correo
  • -t: el modo de prueba no actualiza el desplazamiento
$ sudo -u logcheck logcheck -o -t

Logcheck a tool to Monitor Linux System Log Activity

Configuración:

Veamos ahora el archivo de configuración logcheck.conf de logcheck ubicado en el directorio /etc/logcheck y hagamos los cambios necesarios en el archivo. 

$ vim /etc/logcheck/logcheck.conf

Logcheck a tool to Monitor Linux System Log Activity

Cambie el valor de REPORTLEVEL de su elección de nivel para controlar el nivel de filtrado de registros, luego cambie el valor SENDMAILTO a su dirección de correo electrónico, para que pueda recibir los informes y registros en la ID de correo electrónico como se muestra a continuación.

Logcheck a tool to Monitor Linux System Log Activity

Cada vez que logcheck genera un correo, tiene diferentes líneas de asunto para diferentes eventos que también se pueden modificar para controlar el asunto.

Logcheck a tool to Monitor Linux System Log Activity

Con la ayuda de archivos de registro almacenados en /etc/logcheck/logcheck.logfiles para mantener la lista de archivos de registro que deben monitorearse. Para definir la lista para usar otro archivo y, en caso de que se almacene en otra ubicación, para definir una nueva RUTA , modifique la variable RULEDIR

Logcheck a tool to Monitor Linux System Log Activity

Vea los archivos de configuración navegando al directorio /etc/logcheck/logcheck.logfiles o /etc/logcheck/logcheck.files para configurar el correo con respecto al nivel de informe que usted proporcionó, estos archivos contienen una lista de archivos de registro para ser monitoreados. 

# vim logcheck.logfiles

Logcheck a tool to Monitor Linux System Log ActivityLogcheck a tool to Monitor Linux System Log Activity

Logcheck funciona usando los archivos /etc/logcheck/ignore.d.server donde buscará líneas que no coincidan con las reglas en los archivos ignorados y luego incluirá esas irregularidades en el informe que luego se envía al usuario por correo electrónico. , también informa actividad inusual en archivos de registro, errores de disco duro, intentos fallidos de autenticación y problemas del kernel. 

Uso:

Sabemos que logcheck envía correos solo cuando se encuentra alguna actividad sospechosa, pero también podemos obtener los informes de inmediato o cada hora ejecutando el siguiente comando,

$ logcheck -m

Otros parámetros a incluir para el envío de correo inmediato,

  • -h: al usar esto, podemos mencionar el nombre de host para usarlo en el asunto del correo
  • -o: esta opción se usa para enviar un informe a stdout

Logcheck a tool to Monitor Linux System Log Activity

Si usa un usuario del sistema, debe tener un alias válido para logcheck y el remitente / correo (mail, sendmail, sSMTP, Postfix) debe estar instalado,

$ vim /etc/aliases

Como sabemos, /etc/logcheck/logcheck.logfiles se utilizan para configurar, leer y monitorear los archivos. Este comportamiento también se puede cambiar y leer archivos almacenados en cualquier ubicación diferente a la ubicación predeterminada. Para hacerlo, ejecute el siguiente comando,

$ logcheck -c /etc/logcheck/logcheck.conf
$ logcheck -L /etc/logcheck/logcheck.conf

$ logcheck -t

 En el comando anterior, Logtail es un comando de utilidad que tiene un registro de las posiciones que la herramienta lee de los archivos de registro. para ejecutar la herramienta en modo de prueba, puede hacerlo usando el comando -t y las compensaciones no se actualizarán.

logcheck-test probará las reglas de logcheck rápida y fácilmente. Analizará los archivos de registro para que coincidan con los registros por regla única o archivo de regla. La regla única de prueba contra /var/log/syslog

$ logcheck-test -s "RULE"

Publicación traducida automáticamente

Artículo escrito por sindhu20 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *