Visualizando as ultimas autenticações e tentativas de autenticação que foram realizadas no servidor
O arquivo auth.log é responsável por guardar todas as informações de logins e tentativas de logins não sucedidas que foram efetuadas no servidor. Monitorando esse arquivo é possível identificar possíveis invasões, tentativas de brute force e ataques DDoS que estão ou foram realizadas no servidor. # tail -f /var/log/auth.log
Monitorando as Principais Ações do sistema no syslog
O Syslog, assim como o arquivo Messages quer será visto logo abaixo é o arquivo centralizador dos logs do sistema. Várias aplicações como Graylog fazem parsing desse arquivo para gerar relatórios administrativos sobre o desempenho do servidor. Ele fica na pasta /var/log também. # tail -f /var/log/syslog
Messages o principal arquivo de Logs do Linux
O arquivo messages não tem muita diferença do SysLog, apesar de eu considerá-lo mais limpo em certos casos, principalmente para monitorar algum bug estranho na minha máquina pessoal. Ao contrário do SysLog que é mais customizável em relação de qual arquivos ele var ler do diretório /var/log, o messages não é tão amigável no que diz respeito a customização. # tail -f /var/log/messages
Gerenciando os Logs do Apache
O apache, por defaut possui 2 arquivos de logs centralizados, o log de acesso e o log de erros, porém, dependendo da configuração do seu VirtualHost, esses arquivos podem ser separados por host em diretórios customizados. Porém você pode encontrar os dois gerais na pasta /var/log/apache/ e neles você pode encontrar por exemplo origens de erros 400's, 500's e etc. # tail -f /var/log/apache2/access.log
# tail -f /var/log/apache2/error.log
Monitorando as Ações do Samba
O servidor Samba também possui arquivos de log bem enxutos, e dependo da parametrização do arquivo smb.conf ele pode gerar logs individuais por clientes dentro da pasta no formato /var/log/samba/log.192.179.0.5 por exemplo, porém o arquivo de logs responsável por monitorar o servidor smb e nmbd do sistema é o samba.log
# tail -f /var/log/samba.log
Verificando os Últimos Logins do Linux com Last
Com o comando last é possível filtrar os ultimos logins do servidor com os IP's , usuários e tempo de login de cada sessão, além de aplicar filtros a partir de arquivos, usuários e períodos, o man do comando é bem interessante # last -X # Printa todos os últimos logins do sistema
# last matheus # Printa os últimos logins do usuário Matheus
root@server:/var/log# last -x
root pts/0 192.168.0.200 Fri Mar 11 23:41 still logged in
root pts/0 192.168.0.106 Fri Mar 11 11:49 - 13:27 (01:38)
root pts/0 192.168.0.64 Thu Mar 10 15:38 - 15:39 (00:01)
root pts/0 192.168.0.64 Thu Mar 10 15:34 - 15:38 (00:03)
root pts/0 192.168.0.61 Thu Mar 10 07:49 - 15:27 (07:37)
root pts/0 192.168.0.106 Wed Mar 9 10:43 - 13:06 (02:22)
root pts/0 192.168.0.64 Mon Mar 7 13:56 - 14:02 (00:06)
root pts/1 192.168.0.64 Mon Mar 7 13:24 - 14:02 (00:37)
root pts/0 192.168.0.106 Mon Mar 7 13:13 - 13:41 (00:27)
runlevel (to lvl 5) 3.16.0-4-amd64 Sat Mar 5 09:27 - 23:55 (6+14:28)
reboot system boot 3.16.0-4-amd64 Sat Mar 5 09:26 - 23:55 (6+14:28)
root tty1 Fri Mar 4 11:32 - 11:34 (00:01)
root pts/1 192.168.0.106 Fri Mar 4 09:09 - 09:12 (00:02)
root pts/1 192.168.0.106 Thu Mar 3 14:28 - 14:32 (00:03)
root pts/1 192.168.0.106 Thu Mar 3 10:09 - 14:28 (04:19)
root pts/1 192.168.0.106 Wed Mar 2 10:41 - 12:39 (01:58)
root pts/2 192.168.0.140 Wed Mar 2 09:19 - 10:27 (01:08)
root pts/1 192.168.0.140 Wed Mar 2 09:16 - 10:27 (01:10)
root pts/1 192.168.0.106 Tue Mar 1 17:14 - 17:21 (00:06)
wtmp begins Tue Mar 1 17:14:53 2016
root@server:/var/log#
Artigo sempre em construção :)
E aew brother blz ??
ResponderExcluirTem algo sobre gestao de logs , tipo to tentando duas coisas, um centralizador de logs tipo splunk so que opensource e mandar os logs do windows de login logon para o centralizador. isso ta foda, se souber de alguma solução fala aew