Comment utiliser Swatchdog pour surveiller les journaux sous Linux

Comment utiliser Swatchdog pour surveiller les journaux sous Linux | Linux/Unix 2024
Comment utiliser Swatchdog pour surveiller les journaux sous Linux | Linux/Unix 2024

En tant qu'administrateurs système, nous devons toujours disposer des meilleurs outils et applications qui nous permettent d'effectuer des tâches de surveillance et de supervision de manière beaucoup plus complète, c'est-à-dire non seulement d'obtenir des données superficielles mais complètes sur chaque action qui se produit à la fois au niveau interne et externe au sein du système d'exploitation.

L'un des meilleurs moyens d'accéder à ces informations consiste à utiliser des journaux ou des enregistrements d'événements dans lesquels plusieurs données sont stockées, telles que :

  • Démarrages, redémarrages et arrêts du système réussis ou non
  • Accès aux applications et programmes
  • Événements de sécurité
  • Journaux de connexion entrants et sortants et bien plus encore.

L'une des meilleures options pour accéder à la surveillance de ces journaux est Swatchdog et donc dans Solvetic, nous expliquerons comment l'installer et l'utiliser sous Linux.

Qu'est-ce que SwatchdogSwatchdog est un script simple basé sur Perl qui a été développé pour surveiller les fichiers journaux actifs sur des systèmes de type Unix comme Linux.

Swatchdog est capable de surveiller presque tous les types de journaux sous Linux et ces journaux sont produits par la fonction syslog d'Unix et il sera possible de voir les journaux basés sur des expressions régulières que nous pouvons définir dans le fichier de configuration de l'utilitaire.

1. Comment installer Swatchdog sur Linux


Pour ce cas, nous utiliserons Ubuntu 18.04, le package swatchdog est disponible pour l'installation à partir des référentiels officiels de chacune des principales distributions Linux en tant que package "swatch" via un gestionnaire de packages, pour son installation, nous pouvons exécuter ce qui suit en fonction de la distribution utilisé: 
 sudo apt install swatch (Ubuntu / Debian) sudo yum install epel-release && sudo yum install swatch (RHEL / CentOS) sudo dnf install swatch (Fedora 22)

AGRANDIR

Appuyez sur la touche S pour confirmer le téléchargement et l'installation de Swatchdog.

Si nous voulons installer la dernière version de Swatchdog, elle doit être compilée à partir des sources en utilisant les commandes suivantes sur toutes les distributions Linux : 

 git clone https://github.com/ToddAtkins/swatchdog.git cd swatchdog / perl Makefile.PL make sudo make install sudo make realclean
Avec ces commandes, vous l'aurez prêt.

2. Comment configurer Swatchdog sur Linux


Une fois le processus d'installation de Swatchdog terminé, il faudra créer le fichier de configuration, son emplacement par défaut est /home/$USER/.swatchdogrc ou .swatchrc, ceci afin de déterminer quels types de motifs d'expression sont utilisés. va chercher et quel type d'action doit être exécuté lors de la combinaison d'un motif.

Étape 1
Pour créer ce fichier, nous utiliserons l'une des options suivantes : 

 sudo touch /home/solvetic/.swatchdogrc sudo touch /home/solvetic/.swatchrc

AGRANDIR

NoterLe champ Solvetic doit être remplacé par l'utilisateur respectif.

Maintenant nous allons ajouter une expression régulière dans ce fichier et chaque ligne doit contenir un mot-clé et une valeur séparés par un espace ou un signe égal (=), il faudra spécifier un motif et une action à entreprendre dans l'événement qu'un modèle.

On accède au fichier à l'aide de l'éditeur souhaité : 

 sudo nano swatchdogrc
Étape 2
Là, nous collerons, à titre d'exemple, ce qui suit : 
 watchfor / sudo / echo red [email protected], sujet = "Sudo Action"

AGRANDIR

Nous sauvegardons les modifications à l'aide des touches :

Ctrl + O

et nous quittons l'éditeur en utilisant :

Ctrl + X

Étape 3
Dans cet exemple, l'expression régulière est une chaîne littérale appelée "sudo", ce qui signifie qu'à chaque fois que la chaîne sudo est exécutée dans le fichier journal, elle imprimera du texte en rouge sur le terminal et l'action sera spécifiée au courrier. été exécutées, nous aurons donc des informations constantes sur les actions effectuées.

Après sa configuration, swatchdog lit le fichier journal /var/log/syslog par défaut, et si ce fichier n'est pas présent, il lira /var/log/messages.

Nous exécutons ce qui suit pour lire les registres : 

 swatch (RHEL / CentOS et Fedora) swatchdog (Ubuntu / Debian)

AGRANDIR

Étape 4
Il sera également possible d'indiquer un fichier de configuration différent à l'aide du paramètre -c, pour cela nous allons d'abord créer un fichier comme suit : 

 mkdir swatch touch swatch / secure.conf
Étape 5
Une fois créé, nous allons ajouter la configuration suivante au fichier afin de surveiller les tentatives de connexion échouées, les tentatives de connexion SSH échouées, les connexions SSH réussies dans le fichier /var/log/log sécurisé. 
 watchfor /FAILED/ echo red [email protected], subject="Intento de acceso fallido" watchfor /ROOT LOGIN/ echo red mail= [email protected], subject="Acceso Root correcto" watchfor /ssh.*: Failed password/ echo red mail= [email protected], subject="Intento de conexión SSH fallido" watchfor /ssh.*: session opened for user root/ echo red mail= [email protected], subject="Acceso SSH Root C'est Correct"

AGRANDIR

Étape 6
Nous enregistrons les modifications à l'aide des touches Ctrl + O et sortons de l'éditeur à l'aide de Ctrl + X.
Maintenant, nous allons exécuter Swatch en spécifiant le fichier de configuration créé à l'aide du fichier -c et le journal à l'aide de l'indicateur -t comme ceci : 

 swatchdog -c ~ / swatch / secure.conf -t / var / log / secure
Étape 7
De cette façon, au fur et à mesure que les entrées sont enregistrées, elles seront affichées dans les résultats de Swatchdog.
De plus, nous pouvons créer d'autres fichiers pour la surveillance tels que : 
 swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon swatchdog -c ~ / auth_watch_config -t / var / log /auth.log --daemon
Certaines options d'utilisation supplémentaires sont :

--awk-field-syntaxeCette option ne peut être utilisée que si vous souhaitez remplacer le backend regex en faveur de la référence de champ de style awk
-config-file | -c nom de fichierIndique à swatchdog où trouver le fichier de configuration
--démonIndique à swatchdog de s'exécuter en arrière-plan et de se dissocier de tout terminal
-extra-module | -M nom_moduleDites à swatchdog quels modules d'action personnalisés charger.

Ainsi, il sera possible de garder un contrôle plus précis des événements sous Linux grâce à cet utilitaire.

wave wave wave wave wave

Articles Populaires

wave
1
post-title
▷ Comment ouvrir les fichiers EXE sur Chromebook - Installer le Chromebook Wine
2
post-title
Configurer Facetime sur iPhone
3
post-title
▷ Comment avoir 120 HZ FPS sur PS5 - JOUER 120 FPS HZ PlayStation 5
4
post-title
BAS VOLUME Windows 10 - SOLUTION
5
post-title
Comment installer le serveur minimal Ubuntu 17.10

Recommandé

wave
- Sponsored Ad -

Choix De L'Éditeur

wave
- Sponsored Ad -