54、系统日志管理、监控与入侵检测全解析

系统日志管理、监控与入侵检测全解析

1. 使用 Swatch 进行自动化日志监控

若要使用 Swatch 监控多个文件，需多次运行 Swatch，每次至少指定不同的跟踪目标（-t 值），可能还需为每次运行指定不同的配置文件。更多启动选项可参考 swatch(1) 手册页。

当 Swatch 配置并运行后，要实现“恰到好处”的监控目标，即既不过度频繁地提醒常规或琐碎事件，也不遗漏重要事件。若出现过度提醒的情况，你会有所察觉，此时可阅读手册、调整 .swatchrc 文件。而对于监控不足的情况，尤其是对于新手系统管理员而言，更难处理。因为异常事件不常发生，难以预测其在日志中的表现。建议养成经常浏览系统日志的习惯，实时跟踪日志，例如使用命令 tail -f /var/log/messages 可打印系统日志的最后 50 行以及后续生成的所有行，直到使用 Ctrl - C 终止 tail 命令。还可以在一个虚拟控制台或 xterm 中对系统进行探测/攻击，同时在另一个中跟踪各种日志文件，nmap 和 Nessus 是不错的工具。

需要注意的是，Swatch 虽能减少手动解析日志文件的需求，但不能完全消除。就像有了计算器也不能放弃算术技能一样，若自己无法识别日志中的内容，就无法让 Swatch 去查找。

2. 为何不应一次性配置 Swatch 后就置之不理

若 Swatch 不常触发操作，可能是系统未被频繁探测或滥用，但也可能是其监控范围不够广泛。因此，需定期手动扫描日志，查看是否有遗漏，并持续调整 .swatchrc 文件。同时，不要忘记定期重新考虑生成日志消息的守护进程的审计/日志配置，因为 Swatch 无法捕