问哪些日志要定期跟踪？

EN

感兴趣的日志：

• /var/log/ apache2 /* -apache2日志:)
• /var/log/auth.log -身份验证尝试
• /var/ log /daemon.log -系统进程在这里记录
• /var/log/syslog -这里的所有日志

我使用日志表包监视SMTP流量和SSH登录，以及身份验证尝试。它可以从大多数Linux发行版中获得，默认情况下包括Ubuntu。

aptitude install logwatch

在过去，我也使用过logsurfer+，这是一个复杂的软件，但高度可配置。

如果这些工具(logwatch、logsurfer+)都不能满足您的需求，那么来自不同供应商的日志管理解决方案就会很多。从软件包到专用设备。如果你想做更多的研究，这里有几个要开始。我不附属于任何这些公司或产品。

• 扣篮
• ArcSight
• AlertLogic
• SANS研究所有许多额外的资源

我建议使用OSSEC来监视您的日志。它将自动检测重要的日志文件，并在默认情况下实时监视所有这些文件。

如果您正在使用Ubuntu，它将查看所有身份验证日志、apache日志、apt-get日志(查看何时安装了新的应用程序)等。

它是开源的，有一个活跃的开发团队，而且使用简单。我们从logwatch迁移到它，因为它实时查看日志，而不是像日志手表那样每隔X小时查看一次日志。

链接：http://www.ossec.net

我通常会看到上面的文件，但主要是syslog文件(/var/log/messages)。我通常设置syslog以提供更好的过滤，并将syslog设置为*.debug，以便查看所有内容。所有这些都是由一个shell脚本读取的，它的根位于logcheck.sh (抱歉，丢失了链接)，每天都会给我发送有趣的邮件。这增加了很难滤除的噪音，但我也用噪音水平作为健康检查--如果噪音水平突然增加或减少，有些事情发生了变化。