タグ「セキュリティ」での検索

運用中の linux マシンのログファイルを確認する

● 運用中の linux マシンのログファイルを確認する

※ ログインに関するログファイル

ログファイル名 概要
/var/log/wtmp ログインに関するログ who /var/log/wtmp コマンドや last コマンドで表示する
/var/log/btmp 不正ログインに関するログ lastbコマンドで表示する
/var/log/lastlog 最終ログインに関するログ laslogコマンドで表示する
/var/log/faillog ログイン失敗回数に関するログ
/var/log/tallylog ログイン失敗回数に関するログ

※ 不正なログインアタックのユーザー名と回数を集計して出す(ファイル /var/log/btmp を集計)

lastb -f /var/log/btmp | awk '{print $1}' | sort | uniq -c | sort -nr | head -30

    670 admin
    112 usuario
     99 user
     98 test
     97 administ
     83 oracle

※ /var/log/ ディレクトリのログファイル

ログファイル名 概要
/var/log/messages システムに関する一般的なログ
/var/log/croncron の処理結果に関するログ
/var/log/maillogメールサービスに関するログ
/var/log/secureセキュリティに関するログ
/var/log/boot.logシステムの起動に関するログ
/var/log/XFree86.0.logX Window System のログ
/var/log/cups/access_log
/var/log/cups/error_log
/var/log/cups/page_log
プリントサーバー cups のログ
/var/log/http/access_log
/var/log/http/error_log
Web サーバー apache のログ
/var/log/samba/log.nmbd
/var/log/samba/log.smbd
ファイル共有サーバー samba のログ
/var/log/squid/access.log
/var/log/squid/cache.log
/var/log/squid/store.log
プロキシサーバー squid のログ

● mysql のスローログを取得する

mysqldumpslow -s t /var/log/mysql_slow.log

毎日メールで送るという方法もあります。
https://github.com/manabusakai/slow-query

一定時間より長いQueryのみをフィルター抽出出来るperlスクリプト
https://github.com/denishpatel/mytreats/blob/master/mysql_slow_log_filter.pl

● syslog設定

syslogの設定ファイルは「/etc/syslog.conf」または「/etc/rsyslog.conf」

No.1111
04/24 15:04

edit

セキュリティ