OS

U prethodnim člancima smo se dotaknuli teme o načinima logginga u BIND-u, odnosno kako napraviti da se određene kategorije log zapisa uopće ne pojavljuju u logovima. Naravno da tu nije kraj, te da BIND može puno više. Vratimo se malo u povijest... BIND inačice 4 je imao samo rudimentarne mogućnosti logiranja, odnosno samo uobičajeni način povećanja ili smanjivanja razine zapisa (verbosity), kao što to ima većina drugih servisa.

Iako je većini godišnji odmor već prošao, program 'vacation' će svakako pomoći i kasnije, ili najkasnije za prve sljedeće blagdane ili odmor. Program vacation ne skriva svoju svrhu iza čudnog imena, nego je sve odmah jasno: vacation umjesto vas odgovara na mailove dok ste vi odsutni s predefiniranom porukom. Pri tome pamti kome je sve poruku poslao, i u sljedećih 7 dana neće istoj osobi poslati poruku o odsutnosti.

Kreiranje i testiranje pravila

Testiranje vaših pravila možete napraviti preko naredbe:

sed -e 's/[[:space:]]*$//' /var/log/syslog | egrep -i 'Access Denied'

(ovdje naredba sed samo filtrira prazna retke, koji su opasni jer će uključiti baš svako pravilo i odgovarajući alarm).

Iako postoje noviji, a vjerojatno i bolji log watcheri, logcheck je svakako jedan od najčešće korištenih kod CARNet sistem administratora. Uzrok je ovom vjerojatno činjenica da je dolazio u obliku CARNet paketa. I danas, kad imamo napredniji OSSEC sustav, koji može i puno više, je gotovo redovito instaliran na poslužiteljima CARNet članica. U tri nastavka pokušat ćemo objasniti sve "male tajne" logchecka.

Logcheck - početak i kraj