Use Logcheck para detectar problemas y violaciones de seguridad en los archivos de registro del sistema [Linux]

Es un hecho innegable que los registros juegan un papel importante en el descubrimiento de problemas de software o del sistema, así como actividades maliciosas. Sin embargo, con tantos archivos de registro y tanta información en cada uno de ellos, a los administradores del sistema les resulta un poco difícil analizarlos correctamente.

Si bien hay muchas herramientas disponibles que son capaces de analizar registros y producir información significativa, si está buscando una buena alternativa de línea de comando, le sugiero que use verificación de registro. En este artículo, discutiremos los conceptos básicos de este comando junto con las funciones que proporciona.

Introducción

Aunque la documentación oficial de logcheck dice que escanea los registros del sistema en busca de «líneas interesantes», vale la pena enfatizar que estas «líneas interesantes» son en realidad los problemas y las violaciones de seguridad que detecta la herramienta.

La herramienta admite básicamente tres niveles de filtrado:

  • Servidor: El nivel predeterminado que contiene reglas para muchos demonios diferentes.
  • Paranoico: un nivel adecuado para máquinas de alta seguridad que ejecutan la menor cantidad de servicios posible; no lo use si no puede manejar sus mensajes detallados.
  • Puesto de trabajo: Un nivel adecuado para máquinas protegidas ya que filtra la mayoría de los mensajes.

De forma predeterminada, logcheck se ejecuta como un cronjob cada hora justo después de cada hora y después de cada reinicio y le envía los resultados en un correo electrónico.

Descargar e instalar

Los usuarios de sistemas basados ​​en Debian, como Ubuntu, pueden instalar fácilmente logcheck ejecutando el siguiente comando:

sudo apt-get install logcheck

Esta es la forma recomendada de instalar la herramienta de línea de comandos, ya que instalará la versión que ya está en el repositorio de su distribución de Linux. Alternativamente, también puede instalar la utilidad descargándola de su sitio web del proyecto.

Configuración

Antes de usar el comando logcheck por primera vez, debe echar un vistazo al archivo «logcheck.conf» ubicado dentro del directorio «/etc/logcheck», ya que contiene configuraciones variables que quizás desee modificar según sus requisitos.

Aquí hay un par de instantáneas de este archivo:

logcheck-configuration-options

logcheck-configuration-options-more

Como puede ver, algunas de las variables están activas con sus valores predeterminados mientras que otras están comentadas. Puede realizar los cambios según sus necesidades. Por ejemplo, descomenté la FECHA, así como las variables ATTACKSUBJECT, SECURITYSUBJECT y EVENTSSUBJECT, y cambié el valor de la variable SENDMAILTO a mi dirección de correo electrónico.

Además de «logcheck.conf», también hay un archivo «logcheck.logfiles» presente en el mismo directorio que contiene una lista de archivos de registro que serán verificados por el comando logcheck.

logcheck-archivos de registro

Puede agregar más archivos de registro a este archivo, pero asegúrese de que cada entrada se agregue en una línea separada.

Uso

Estos son algunos ejemplos de cómo se puede usar el comando logcheck:

Nota: todos los ejemplos presentados en este artículo se prueban en Ubuntu 14.04.

Enviar correo electrónico inmediatamente

Si bien logcheck envía correos electrónicos periódicamente de manera predeterminada, puede usar el -m opción para forzarlo a enviar uno inmediatamente. Por ejemplo, cuando ejecuté el siguiente comando:

El siguiente correo electrónico fue enviado a mi bandeja de entrada:

logcheck-correo electrónico

Nota:
1. Puedes usar el -h opción seguida de un nombre de host para usar ese nombre de host en el asunto del correo electrónico.

2. Puedes usar el -o opción para enviar el informe a stdout, en lugar de correo electrónico.

Anular las listas de archivos de configuración y archivos de registro predeterminados

Como ya se mencionó, de forma predeterminada, el comando logcheck usa los archivos “/etc/logcheck/logcheck.logfiles” y “/etc/logcheck/logcheck.conf” para leer los archivos de registro que se monitorearán y sus propios ajustes de configuración, respectivamente. Pero puede cambiar este comportamiento y hacer que el comando lea archivos ubicados en cualquier otra ubicación usando el -L y -C opciones

Por ejemplo, el siguiente comando sería «mylogcheck.conf» ubicado en mi directorio de inicio:

logcheck -C /home/himanshu/mylogcheck.conf

De manera similar, el siguiente comando leería «mylogcheck.logfiles» presente en mi directorio de inicio:

logcheck -L /home/himanshu/mylogcheck.logfiles

Nota: también puedes usar el -r opción de línea de comandos seguida de un nombre de directorio para anular el directorio de reglas predeterminado.

Conserve las compensaciones del archivo de registro usando la opción -t

El comando logcheck utiliza un programa llamado «logtail» que recuerda la última posición que leyó en un archivo de registro. Pero si desea ejecutar el comando en modo de prueba, es decir, sin actualizar las compensaciones del archivo de registro, puede usar el -t opción.

El siguiente comando informará problemas de seguridad o violaciones, pero no actualizará las compensaciones:

Para obtener más información sobre este comando, consulte su página man.

Conclusión

Logcheck no solo es fácil de usar, sino que también es extremadamente personalizable. Diría que es una herramienta imprescindible para cualquier administrador de sistemas principalmente por sus capacidades. ¿Alguna vez has usado logcheck? ¿Cómo fue tu experiencia? Comparta sus pensamientos en los comentarios a continuación.

Publicaciones Similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *