sexta-feira, 11 de março de 2016

Gerenciando os Principais arquivos de Logs do Linux



Visualizando as ultimas autenticações e tentativas de autenticação que foram realizadas no servidor

O arquivo auth.log é responsável por guardar todas as informações de logins e tentativas de logins não sucedidas que foram efetuadas no servidor. Monitorando esse arquivo é possível identificar possíveis invasões, tentativas de brute force e ataques DDoS  que estão ou foram realizadas no servidor.
 # tail -f /var/log/auth.log  



Monitorando as Principais Ações do sistema no syslog

O Syslog, assim como o arquivo Messages quer será visto logo abaixo é o arquivo centralizador dos logs do sistema. Várias aplicações como Graylog fazem parsing desse arquivo para gerar relatórios administrativos sobre o desempenho do servidor. Ele fica na pasta /var/log também.
 # tail -f /var/log/syslog


Messages o principal arquivo de Logs do Linux

O arquivo messages não tem muita diferença do SysLog, apesar de eu considerá-lo mais limpo em certos casos, principalmente para monitorar algum bug estranho na minha máquina pessoal. Ao contrário do SysLog que é mais customizável em relação de qual arquivos ele var ler do diretório /var/log, o messages não é tão amigável no que diz respeito a customização.
 # tail -f /var/log/messages


Gerenciando os Logs do Apache

O apache, por defaut possui 2 arquivos de logs centralizados, o log de acesso e o log de erros, porém, dependendo da configuração do seu VirtualHost, esses arquivos podem ser separados por host em diretórios customizados. Porém você pode encontrar os dois gerais na pasta /var/log/apache/ e neles você pode encontrar por exemplo origens de erros 400's, 500's e etc.
 # tail -f /var/log/apache2/access.log  
 # tail -f /var/log/apache2/error.log  



Monitorando as Ações do Samba

O servidor Samba também possui arquivos de log bem enxutos, e dependo da parametrização do arquivo smb.conf ele pode gerar logs individuais por clientes dentro da pasta no formato /var/log/samba/log.192.179.0.5 por exemplo, porém o arquivo de logs responsável por monitorar o servidor smb e nmbd do sistema é o samba.log
 # tail -f /var/log/samba.log



Verificando os Últimos Logins do Linux com Last

Com o comando last é possível filtrar os ultimos logins do servidor com os IP's , usuários e tempo de login de cada sessão, além de aplicar filtros a partir de arquivos, usuários e períodos, o man do comando é bem interessante

 # last -X # Printa todos os últimos logins do sistema  
 # last matheus # Printa os últimos logins do usuário Matheus  
 root@server:/var/log# last -x  
 root   pts/0    192.168.0.200  Fri Mar 11 23:41  still logged in    
 root   pts/0    192.168.0.106  Fri Mar 11 11:49 - 13:27 (01:38)    
 root   pts/0    192.168.0.64   Thu Mar 10 15:38 - 15:39 (00:01)    
 root   pts/0    192.168.0.64   Thu Mar 10 15:34 - 15:38 (00:03)    
 root   pts/0    192.168.0.61   Thu Mar 10 07:49 - 15:27 (07:37)    
 root   pts/0    192.168.0.106  Wed Mar 9 10:43 - 13:06 (02:22)    
 root   pts/0    192.168.0.64   Mon Mar 7 13:56 - 14:02 (00:06)    
 root   pts/1    192.168.0.64   Mon Mar 7 13:24 - 14:02 (00:37)    
 root   pts/0    192.168.0.106  Mon Mar 7 13:13 - 13:41 (00:27)    
 runlevel (to lvl 5)  3.16.0-4-amd64  Sat Mar 5 09:27 - 23:55 (6+14:28)    
 reboot  system boot 3.16.0-4-amd64  Sat Mar 5 09:26 - 23:55 (6+14:28)    
 root   tty1             Fri Mar 4 11:32 - 11:34 (00:01)    
 root   pts/1    192.168.0.106  Fri Mar 4 09:09 - 09:12 (00:02)    
 root   pts/1    192.168.0.106  Thu Mar 3 14:28 - 14:32 (00:03)    
 root   pts/1    192.168.0.106  Thu Mar 3 10:09 - 14:28 (04:19)    
 root   pts/1    192.168.0.106  Wed Mar 2 10:41 - 12:39 (01:58)    
 root   pts/2    192.168.0.140  Wed Mar 2 09:19 - 10:27 (01:08)    
 root   pts/1    192.168.0.140  Wed Mar 2 09:16 - 10:27 (01:10)    
 root   pts/1    192.168.0.106  Tue Mar 1 17:14 - 17:21 (00:06)    
 wtmp begins Tue Mar 1 17:14:53 2016  
 root@server:/var/log#   

Artigo sempre em construção :)



SOBRE O AUTOR

Matheus Fidelis

http://msfidelis.github.io/

Power Ranger, Piloto de Helicópteros e Astronauta da NASA. Desenvolvedor Web PHP com foco em Backend e POO, Linux SysAdmin DevOps e Entusiasta Python. Criou esse site pra contribuir com a comunidade com coisas que aprende dentro de um setor maluco de TI :)

1 comentários:

  1. E aew brother blz ??


    Tem algo sobre gestao de logs , tipo to tentando duas coisas, um centralizador de logs tipo splunk so que opensource e mandar os logs do windows de login logon para o centralizador. isso ta foda, se souber de alguma solução fala aew

    ResponderExcluir

 
Nanoshots | Open Source Security, Linux e Tutoriais © 2015 - Designed by Templateism.com