Linux

Utilisez Logcheck pour repérer les problèmes et les violations de sécurité dans les fichiers journaux du système [Linux]

Il est indéniable que les journaux jouent un rôle important dans la découverte de problèmes logiciels ou système ainsi que d’activités malveillantes. Cependant, avec autant de fichiers journaux et beaucoup d’informations dans chacun d’eux, il devient un peu difficile pour les administrateurs système de les analyser correctement.

Bien qu’il existe de nombreux outils disponibles capables d’analyser les journaux et de produire des informations significatives, si vous recherchez une bonne alternative à la ligne de commande, je vous suggère d’utiliser logcheck. Dans cet article, nous aborderons les bases de cette commande ainsi que les fonctionnalités qu’elle fournit.

introduction

Bien que la documentation officielle de logcheck indique qu’il analyse les journaux système à la recherche de « lignes intéressantes », il convient de souligner que ces « lignes intéressantes » sont en fait les problèmes et les violations de sécurité que l’outil détecte.

L’outil prend essentiellement en charge trois niveaux de filtrage :

  • Serveur: le niveau par défaut qui contient des règles pour de nombreux démons différents.
  • Paranoïaque: Un niveau adapté aux machines de haute sécurité exécutant le moins de services possible – ne l’utilisez pas si vous ne pouvez pas gérer ses messages verbeux.
  • Poste de travail: Un niveau adapté aux machines abritées car il filtre la plupart des messages.
  • Psssssst :  Réponse rapide : Comment installer Ubuntu sur une clé USB ?

    Par défaut, logcheck s’exécute comme une tâche cron horaire juste en dehors de l’heure et après chaque redémarrage et vous envoie les résultats par e-mail.

    Télécharger et installer

    Les utilisateurs de systèmes basés sur Debian, comme Ubuntu, peuvent facilement installer logcheck en exécutant la commande suivante :

    C’est la méthode recommandée pour installer l’outil de ligne de commande car il installera la version déjà présente dans le référentiel de votre distribution Linux. Alternativement, vous pouvez également installer l’utilitaire en le téléchargeant à partir du site Web de son projet.

    Configuration

    Avant d’utiliser la commande logcheck pour la première fois, vous devez jeter un œil au fichier « logcheck.conf » situé dans le répertoire « /etc/logcheck » car il contient des paramètres variables que vous pouvez modifier selon vos besoins.

    Voici quelques instantanés de ce fichier :

    logcheck-configuration-options-plus

    Comme vous pouvez le voir, certaines des variables sont actives avec leurs valeurs par défaut en place tandis que d’autres sont commentées. Vous pouvez apporter les modifications en fonction de vos besoins. Par exemple, j’ai décommenté la DATE ainsi que les variables ATTACKSUBJECT, SECURITYSUBJECT et EVENTSSUBJECT et changé la valeur de la variable SENDMAILTO en mon adresse e-mail.

    Outre « logcheck.conf », il existe également un fichier « logcheck.logfiles » présent dans le même répertoire qui contient une liste de fichiers journaux qui seront vérifiés par la commande logcheck.

    logcheck-logfiles

    Vous pouvez ajouter d’autres fichiers journaux à ce fichier, mais assurez-vous que chaque entrée est ajoutée sur une ligne distincte.

    Psssssst :  Question : Comment démarrer Linux Mint à partir d'une clé USB ?

    Usage

    Voici quelques exemples d’utilisation de la commande logcheck :

    Noter: tous les exemples présentés dans cet article sont testés sur Ubuntu 14.04.

    Envoyer un e-mail immédiatement

    Alors que logcheck envoie des e-mails périodiquement par défaut, vous pouvez utiliser l’option -m pour le forcer à en envoyer un immédiatement. Par exemple, lorsque j’ai exécuté la commande suivante :

    L’e-mail suivant a été envoyé dans ma boîte de réception :

    logcheck-email

    Noter:
    1. Vous pouvez utiliser l’option -h suivie d’un nom d’hôte pour utiliser ce nom d’hôte dans l’objet de l’e-mail.

    2. Vous pouvez utiliser l’option -o pour envoyer le rapport sur stdout, plutôt que par courrier électronique.

    Remplacer le fichier journal par défaut et les listes de fichiers de configuration

    Comme déjà discuté, par défaut, la commande logcheck utilise les fichiers « /etc/logcheck/logcheck.logfiles » et « /etc/logcheck/logcheck.conf » pour lire les fichiers journaux à surveiller et ses propres paramètres de configuration, respectivement. Mais vous pouvez modifier ce comportement et demander à la commande de lire les fichiers situés à n’importe quel autre emplacement en utilisant les options -L et -C.

    Par exemple, la commande suivante indiquerait « mylogcheck.conf » situé dans mon répertoire personnel :

    De même, la commande suivante lirait « mylogcheck.logfiles » présent dans mon répertoire personnel :

    Noter: vous pouvez également utiliser l’option de ligne de commande -r suivie d’un nom de répertoire pour remplacer le répertoire de règles par défaut.

    Conserver les décalages du fichier journal à l’aide de l’option -t

    La commande logcheck utilise un programme appelé « logtail » qui mémorise la dernière position qu’il a lue dans un fichier journal. Mais si vous souhaitez exécuter la commande en mode test, c’est-à-dire sans mettre à jour les décalages du fichier journal, vous pouvez utiliser l’option -t.

    La commande suivante signalera les problèmes de sécurité ou les violations, mais ne mettra pas à jour les décalages :

    Pour plus d’informations sur cette commande, consultez sa page de manuel.

    Conclusion

    Logcheck est non seulement simple à utiliser, mais il est également extrêmement personnalisable. Je dirais que c’est un outil indispensable pour tout administrateur système, principalement en raison de ses capacités. Avez-vous déjà utilisé logcheck ? Comment s’est passée votre expérience ? Partagez votre opinion dans les commentaires ci-dessous.

    Cet article est-il utile ? Oui Non

    Bouton retour en haut de la page

    Adblock détecté

    Veuillez désactiver votre bloqueur de publicités pour pouvoir visualiser le contenu de la page. Pour un site indépendant avec du contenu gratuit, c’est une question de vie ou de mort d’avoir de la publicité. Merci de votre compréhension! Merci