Который регистрируется для отслеживания регулярно
У меня есть Lenovo Thinkpad T61 (примечание: ее Lenovo теперь, не IBM), и хинду работает отлично на нем. По моему опыту, все аппаратные средства на нем - даже его часто разбитой карте Intel Wifi - работают очень хорошо на нем. Если Вы хотите проверить дважды, просто проверьте определенные аппаратные средства, не полную машину. Две основных части аппаратных средств для внимательности:
- Видеокарта (Nvidia, кажется, побеждает ATI, некоторые интегрировались, Intels имеют проблемы),
- Беспроводная Карта (Atheros [ThinkPad a/b/g/etc] является лучшим, от того, что я услышал, хотя Intel хорошо работает),
Ubuntu и Redhat поддерживают вышеупомянутое из поля, хотя Вам предложат установить "ограниченные" драйверы Nvidia на Ubuntu.
Остальная часть аппаратных средств является в значительной степени стандартной, хотя вещи, такие как считыватель отпечатков пальцев, UltraNav, прокручивающий (использование trackpoint для прокрутки), и кнопки громкости, не могут работать из поля, но все они хорошо зарегистрировали инструкции относительно Thinkwiki.
Журналы интереса:
- /var/log/apache2 /* - apache2 журналы :)
- /var/log/auth.log - попытки аутентификации
- /var/log/daemon.log - системные процессы регистрируются здесь
- /var/log/syslog - все регистрируется здесь
Я использую logwatch пакет для контроля трафика SMTP и логинов SSH и попыток аутентификации. Это доступно от большинства дистрибутивов Linux, включая Ubuntu по умолчанию.
aptitude install logwatch
В прошлом я также использовал logsurfer +, который является сложной частью программного обеспечения, но высоконастраиваемый.
Если ни один из этих инструментов (logwatch, logsurfer +) не удовлетворяет Ваши потребности, существует большое количество решений по управлению журнала от различных поставщиков. С пакетов программного обеспечения на специализированные устройства. Вот некоторые, чтобы начать, если Вы хотите провести дополнительное исследование. Я не аффилирован ни с одной из этих компаний или продуктов.
-
1+1 для logwatch; это сохраняет меня много времени по утрам. – RainyRat 28 July 2009 в 11:46
-
2Я lurves mah logwatch. – womble♦ 28 July 2009 в 12:41
-
3Logwatch кажется большим - даже разоблачил что-то, в чем я должен был зарегистрироваться на первом показе! – Elliot Hughes 28 July 2009 в 12:49
Я предлагаю использовать OSSEC для контроля журналов. Это будет автоматически обнаруживать важные файлы журнала и контролировать всех их в режиме реального времени по умолчанию.
При использовании Ubuntu она посмотрит на все журналы аутентификации, апачские журналы, склонные - получают журналы (для наблюдения, когда новые приложения установлены), и т.д.
Это - открытый исходный код, имеет команду активной разработки и просто в использовании. Мы мигрировали на него от logwatch, потому что это смотрит на журналы в режиме реального времени вместо того, чтобы делать, это каждые X часы как часы журнала делает.
Ссылка: http://www.ossec.net
Я обычно наблюдаю вышеупомянутые файлы, но главным образом файлы системного журнала (/var/log/messages). Я обычно настраивал системный-журнал-ng для обеспечения некоторой лучшей фильтрации, и я настроил системный журнал для входа как *.debug так, чтобы я видел все. Это все читается сценарием оболочки, который имеет его корни в logcheck.sh (извините, потерял ссылку), и ежедневно отправляет мне по почте интересные объекты. Это имеет увеличенный уровень шума, который трудно отфильтровать, но я использую уровень шума в качестве проверки состояния также - если уровень шума внезапно увеличивается или уменьшается, что-то изменилось.
У меня есть один протест о logwatch, и это - "то, что" искать. Я писал/использовал инструмент, названный мелким для выполнения исследования слова и корреляции. Это использует несколько простых методов от Обработки естественного языка для удаления стоп-слов. Это помогает администратору/аналитику, который ответственен за анализ журнала, чтобы быть уверенным больше, что он, действительно, ловит все события, что он хочет с logwatch.
Это - основная проблема курицы/яйца того, как делают я знаю то, что я должен искать, пока я не видел его прежде. Режим исследования слова мелких помогает с этим. Также это обеспечивает построение графика cli и хеширование.