Вы использовали бы Splunk?
Это говорит, что каталог не существует, проверьте, чтобы удостовериться, что/home/username существует. Если это затем не выполняет следующие команды
mkdir /home/username
cp -r --preserve /etc/skel/* /home/username
chown -R username.username /home/username
Это должно создать каталог для пользователя и остановить ошибку, которую Вы видите от разоблачения.
Установите logcheck пакет. Это просканирует журналы раз в час и пошлет Вам по электронной почте что-либо, что это не считает нормальным. По существу это посылает по электронной почте что-либо, что ввело журналы в прошлый час, что это не имеет правила для игнорирования. Существуют дополнительные правила нападения, чем включают вещи, которые не должны быть в журнале. Почтовая строка темы варьируется в зависимости от причины, вещи были взяты.
Я обычно создаю локальное, игнорируют файл для него, поскольку я обнаруживаю вещи, которые я считаю нормальными, но не имею существующими, игнорируют правила.
Различные альтернативы системного журнала вся консолидация сервера поддержки, таким образом, можно передать журналы единственному серверу. Однако я не имел привычку делать его. Единственная система, которую я передаю, выходит из системы, мой брандмауэр OpenWRT.
Править: Я действительно использую Splunk на работе для поиска файлов журнала, хотя, если я известный конкретный журнал я ищу, я, более вероятно, буду использовать меньше. Это действительно имеет аварийные возможности, но мы не используем их. Я ожидаю, что они предупредили бы на соответствии к известной записи. Это может привести к большому количеству ложных отрицательных сторон, если у Вас есть новые проблемы без аварийного правила. Я предпочитаю иметь ложные положительные стороны как, я добираюсь от logcheck. Splunk может иметь лучшую своевременность на предупреждениях все же.
Я действительно получаю своевременные предупреждения от fail2ban на случаях, которые заставляют его инициировать. Это также поддерживает записи черного списка для инициирующего источника.
Еще одна вещь добавить. Наша компания недавно изучила покупку Splunk. У нас определенно было больше чем 500 МБ журналов для анализа, и мы нашли, что их модель лицензирования была зверски дорогой. Splunk использовал в своих интересах их увеличение популярности и медленно увеличивал их цены за эти годы. Когда мы сначала посмотрели на него 2 года назад, предел на свободный составлял 1 ГБ, и лицензионные сборы были половиной того, что они теперь.
Splunk является фантастическим инструментом, но в он - текущая цена, я думал бы трудно об альтернативах, по моему скромному мнению.
Splunk не находится действительно в той же категории программного обеспечения как cPanel. Из того, что я вспоминаю, что cPanel является веб-пакетом управления системой. Splunk является инструментом анализа данных и предупреждения.
Тем не менее согласно нашему веб-сайту:
"Загрузите Splunk бесплатно. Вы получите все функции Enterprise Splunk в течение 60 дней, и можно индексировать до 500 мегабайтов данных в день. После 60 дней, или в любое время к тому времени, можно преобразовать в бесконечную Бесплатную лицензию или купить Корпоративную лицензию, чтобы продолжить использовать расширенную функциональность, разработанную для многопользовательского развертывания Предприятия".
Удовлетворенный для высказывания можно загрузить и использовать Splunk, бесплатно, на большинстве средних размерных системных наборов данных логов.
Что касается диагностирования, когда Ваш сервер находится под ударом, это - то, где Splunk удовлетворил бы Ваши потребности. Проверьте мое сообщение в блоге с сегодняшнего дня, где я показываю Вам, как установить предупреждения iPhone, когда кто-то пытается войти в Ваш сервер с недопустимыми учетными данными.
http://blogs.splunk.com/2010/08/16/how-to-use-notifo-to-receive-splunk-alerts-on-your-iphone/
Не стесняйтесь проверять с помощью ping-запросов меня назад, если бы Вы имеете дальнейшие вопросы или хотели бы расширенную демонстрационную лицензию нашего продукта.
Мы используем Splunk для такой вещи... Windows и Linux размещают, все передают их журналы Splunk и существуют некоторые "сохраненные поиски" в splunk, которые генерируют предупреждения. Позволяет обнаружить вещи как "больше чем X неудавшихся логинов за прошлые 30 минут" через все имена пользователей, и системы (сохраненный поиск сложен, тем не менее, для получения окон, системы Linux и различных приложений...). Это является также большим для поиска журналов прямо сейчас.
Splunk может быть свободным для достаточно небольшого набора данных.
Действительно необходимо масштабировать сервер соответственно, на основе того, сколько данных Вы отправляете в Splunk в день, сколько Вы хотите сохранить и сколько поиска Вы будете делать. Иначе это может сорвать.
Перед Splunk мы раньше использовали SEC на сервере системного журнала, который имел все журналы, переданные ему. Намного тяжелее для записи сохраненных поисков, и действительно не делает ничего для замены grep для поиска вещей после факта. Все еще довольно достойный, все же.
Я использую и настоятельно рекомендую http://papertrailapp.com для удаленного системного журнала. После того, как вы создадите свои оповещения и фильтры поиска, это будет удивительно и недорого!