Log Dosyalarina Aktif Izleme

Kullandığımız sistemlerde çalışan çeşitli servisler, süreçler her gün binlerce satır log bırakıyor. Peki bu log dosyalarını inceleyebiliyor muyuz? Kendi adıma rahatlıkla söyleyebilirimki acil durumlar olmadıkca log dosyalarını incelemem.( Tabi bu biraz da yükümlü olduğunuz sistemlerin sayısına bağlı.). bakar.jpg

Peki bizim haberimiz olmadan sistemler sadece masum loglar mı üretir? Ya da acil durumlar hep biz sistemde iken mi oluşur… Tabi ki hayır , öyle ise log dosyalarını bizim yerimize herdaim gözleyen ve çeşitli durumlarda bize haber veren bir yapıya ihtiyacımız var demektir. Bunun icin isterseniz kendi programınızı/scriptinizi yazarak uygulayabilir isterseniz bu iş için yazılmış ve yıllardır kullanılan stabil bir sistemi kullanırsınız. Tembel ben ikinci sıkkı tercih ederek log dosyalarımı gözetleme ihalemi Swatch‘a devrettim… Böylece 100’e yakın sistemde neler oluyor neler bitiyor benim yerime gözetleyen ve acil olarak belirlediğim durumlarda koşa koşa(MTA’lar arasi) bana haber veren bir sistemim oldu.

Peki bu swatche ne is yapar? swa.PNG

SWATCH, çalışan sistemlerle ilgili yapılan loglama işini aktif değerlendirmek amacı ile kullanılan bir araç. Log dosyalarımızda belirlediğimiz tipte string gördüğünde isteğe bağlı olarak mail gonderimi yapan ya da aksiyon alabilen(sistemde komut çalıştırma gibi)bir yapıya sahip.

carl.PNG Kurulum

#cd /usr/ports/security/swatch #make && make install

swatch öntanımlı olarak $HOME/.swatchrc dosyasını kontrol eder. Kendi oluşturduğunuz bir yapılandırma dosyasını kullanmak isterseniz -c /dosya/yolu seklinde belirtmek gerekir. Ben *BSD sistemlerde /usr/local/etc/swatchrc dosyasini kullaniyorum.

Örnekler;

Mesela sistem diskinin dolduğu ile ilgili aktif uyarı almak istediğimizi dusunelim. Bunun icin ekteki satırları swatchrc dosyasına kaydedip uygum parametrelerle swatch’i çalıştırmamız yeterlidir.

watchfor /file system full/ mail addresses=huzeyfe\@lifeoverip.net, subject=Diskde yer kalmadi Acil!

#swatch -c /usr/local/etc/swatchrc -t /var/log/messages

Sistemimizde ip-mac değişimlerini izlemek için kullandığımız arpwatch tarafından oluşturulan “reused old ethernet address” tipi mesajları mail olarak almak isteyelim. Bunun icin yazacağımız swatch ornegi soyle olacaktır.

watchfor /reused old ethernet address/ mail addresses=huzeyfe\@lifeoverip.net, subject=Sistemde birileri yaramazlık yapiyor!

log dosyalarında incelettireceğimiz alanda regexp kullanarak birden fazla kontrol yaptırabiliriz.

watchfor / root|toor / bu tanımla icerisinde root ya da toor gecen logları yakalarız.

Sisteme yapılan SSH giris deneyimlerinden haberdar olmak icin

watchfor /Failed password/ mail addresses=huzeyfe\@lifeoverip.net, subject=Sisteme giris deneyimi

belirli tipteki stringleri haric tutmak icin ignore tanımı kullanılır.

ignore /Failed password for root from 80.93.212.86/ ignore tanımlarını swatchrc dosyasının en üstüne yazmakda fayda var. Böylece ignore etmek istediğimiz icerikler alttaki satırlarda işleme sokulmayacaktır.

Bunlara ek olarak hangi zaman dilimleri için e-posta gönderileceği, belirli bir zaman dilimi içerisindeki loglar için belirlemek istersek when ve throttle tanımlarını kullanabiliriz.

Ek Not: E-posta listelerinde fazlasi ile soruldugundan buraya eklemenin faydali oldugunu dusundugum bir ozellik daha var. swatch ile birden fazla log dosyasini incelettirmek istersek –tail-file=”” kullanabiliriz.

swatch -c … –tail-file=” /tmp/procmail /var/log/messages /var/log/auth.log”

gibi.

This entry was posted in Linux Security, Log Monitoring, Security Tools. Bookmark the permalink.

6 Responses to Log Dosyalarina Aktif Izleme

  1. Elinize sağlık. Güzel bir yazı olmuş.

    Logları analiz etmek ve izlemek için ne kullanmalıyım diye yaptığım araştırmada sizin yazınız bana yol gösterdi. Teşekkürler…

  2. Pingback: ULAK-CSIRT » Swatch ile log dosyalarını takip etme

  3. hykrn says:

    teşekkürler çok yararlı bir döküman olmuş.

  4. hykrn says:

    swatchrc -c /usr/local/etc/swatchrc -t /var/log/messages

    bu komutta sadece en başta bulunan swatchrc nin swatch olması gerekiyor yada redhat ta bu şekilde kullanılıyor. Bilginize.

  5. Huzeyfe ONAL says:

    Haklisiniz swatch olmali. Duzelttim, tesekkurler.

  6. Pingback: Swatch ile log izleme - Teknoloji ve Webmaster Platformu

Leave a Reply

Your email address will not be published. Required fields are marked *

4 × 1 =