IRCForumları - IRC ve mIRC Kullanıcılarının Buluşma Noktası
  sohbet

Etiketlenen Kullanıcılar

Yeni Konu aç Cevapla
 
LinkBack Seçenekler Stil
Alt 16 Nisan 2008, 07:49   #1
Çevrimdışı
Kullanıcıların profil bilgileri misafirlere kapatılmıştır.
IF Ticaret Sayısı: (0)
IF Ticaret Yüzdesi:(%)
Log Dosyalarını aktif izleme




Kullandığımız sistemlerde çalışan çeşitli servisler, süreçler her gün binlerce satır log bırakıyor. Peki bu log dosyalarını inceleyebiliyor muyuz?
Kendi adıma rahatlıkla söyleyebilirimki acil durumlar olmadıkca log dosyalarını incelemem.( Tabi bu biraz da yükümlü olduğunuz sistemlerin sayısına bağlı.).

Peki bizim haberimiz olmadan sistemler sadece masum loglar mı üretir? Ya da acil durumlar hep biz sistemde iken mi oluşur… Tabi ki hayır , öyle ise log dosyalarını bizim yerimize herdaim gözleyen ve çeşitli durumlarda bize haber veren bir yapıya ihtiyacımız var demektir.

Bunun icin isterseniz kendi programınızı/scriptinizi yazarak uygulayabilir isterseniz bu iş için yazılmış ve yıllardır kullanılan stabil bir sistemi kullanırsınız. Tembel ben ikinci sıkkı tercih ederek log dosyalarımı gözetleme ihalemi [Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]‘a devrettim… Böylece 100′e yakın sistemde neler oluyor neler bitiyor benim yerime gözetleyen ve acil olarak belirlediğim durumlarda koşa koşa(MTA’lar arasi) bana haber veren bir sistemim oldu.

Peki bu swatche ne is yapar?


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


SWATCH, çalışan sistemlerle ilgili yapılan loglama işini aktif değerlendirmek amacı ile kullanılan bir araç. Log dosyalarımızda belirlediğimiz tipte string gördüğünde isteğe bağlı olarak mail
gonderimi yapan ya da aksiyon alabilen(sistemde komut çalıştırma gibi)bir yapıya sahip.


Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.


Kurulum

#cd /usr/ports/security/swatch
#make && make install


swatch öntanımlı olarak $HOME/.swatchrc dosyasını kontrol eder. Kendi oluşturduğunuz bir yapılandırma dosyasını kullanmak isterseniz -c /dosya/yolu seklinde belirtmek gerekir. Ben *BSD sistemlerde /usr/local/etc/swatchrc dosyasini kullaniyorum.

Örnekler;

Mesela sistem diskinin dolduğu ile ilgili aktif uyarı almak istediğimizi dusunelim. Bunun icin ekteki satırları swatchrc dosyasına kaydedip uygum parametrelerle swatch’i çalıştırmamız yeterlidir.

watchfor /file system full/
mail addresses=huzeyfe\\@lifeoverip.net,
subject
Bu forumdaki linkleri ve resimleri görebilmek için en az 25 mesajınız olması gerekir.
iskde yer kalmadi Acil!

#swatchrc -c /usr/local/etc/swatchrc -t /var/log/messages

Sistemimizde ip-mac değişimlerini izlemek için kullandığımız arpwatch tarafından oluşturulan “reused old ethernet address” tipi mesajları mail olarak almak isteyelim. Bunun icin yazacağımız swatch ornegi soyle olacaktır.

watchfor /reused old ethernet address/
mail addresses=huzeyfe\\@lifeoverip.net,
subject=Sistemde birileri yaramazlık yapiyor!

log dosyalarında incelettireceğimiz alanda regexp kullanarak birden fazla kontrol yaptırabiliriz.

watchfor / root|toor /
bu tanımla icerisinde root ya da toor gecen logları yakalarız.

Sisteme yapılan SSH giris deneyimlerinden haberdar olmak icin

watchfor /Failed password/
mail addresses=huzeyfe\\@lifeoverip.net, subject=Sisteme giris deneyimi

belirli tipteki stringleri haric tutmak icin ignore tanımı kullanılır.

ignore /Failed password for root from 80.93.212.86/
ignore tanımlarını swatchrc dosyasının en üstüne yazmakda fayda var. Böylece ignore etmek istediğimiz icerikler alttaki satırlarda işleme sokulmayacaktır.

Bunlara ek olarak hangi zaman dilimleri için e-posta gönderileceği, belirli bir zaman dilimi içerisindeki loglar için belirlemek istersek when ve throttle tanımlarını kullanabiliriz.

Ek Not: E-posta listelerinde fazlasi ile soruldugundan buraya eklemenin faydali oldugunu dusundugum bir ozellik daha var. swatch ile birden fazla log dosyasini incelettirmek istersek –tail-file=”" kullanabiliriz.

swatch -c … –tail-file=” /tmp/procmail /var/log/messages /var/log/auth.log”

gibi.

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]

[Üye Olmadan Linkleri Göremezsiniz. Üye Olmak için TIKLAYIN...]
ChayLaK

 
Alıntı ile Cevapla

IRCForumlari.NET Reklamlar
sohbet odaları sohbet odaları Benimmekan Mobil Sohbet
Cevapla

Etiketler
aktif, dosyalarini, dosyalarını, izleme, log


Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)
 
Seçenekler
Stil

Yetkileriniz
Konu Acma Yetkiniz Yok
Cevap Yazma Yetkiniz Yok
Eklenti Yükleme Yetkiniz Yok
Mesajınızı Değiştirme Yetkiniz Yok

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodu Kapalı
Trackbacks are Kapalı
Pingbacks are Açık
Refbacks are Açık


Benzer Konular
Konu Konuyu Başlatan Forum Cevaplar Son Mesaj
php ile css dosyalarını sıkıştırmak css compress hAte PHP 0 08 Ekim 2014 08:19
Lighttpd Log Dosyalarını Döndürme Ocean GNU, Linux ve UNIX 0 21 Temmuz 2010 23:10
Linux altında AVI dosyalarını birleştirmek Ocean GNU, Linux ve UNIX 0 22 Ağustos 2008 01:02