第9章Swatch.pdfVIP

下载 下载 第9章 Swatch U N I X 日志文件提供了大量的信息。使用S w a t c h工具可以把日志记录中过多的记录缩减到 合理的程度。它在 s y s l o g消息写往日志文件时进行监测并根据模式（例如某人多次试图以 r o o t 登录）来采取预先配置的行动（例如打管理员的传呼机）。本章讲述了怎样安装、配置和运行 S w a t c h 以进行实时日志监测和日志文件审计。 9.1 简介 对于U N I X 系统管理员，特别是负责拥有大量主机系统的安全性的管理员来说，监视是一 项繁重的任务，甚至最不繁忙的服务器一天也要产生数千条日志信息，测试每个对它们进行 详查的人的权力。并不奇怪日志经常被忽略掉或仅在发生了侵入或安全危害之后才进行审计。 S w a t c h （Simple Wa t c h e r ）用来减轻监测和审计日志文件的负担。程序的作者描述了一个 管理任务，有十几台服务器和 5 0个客户机，所有的信息都向一个单独的日志管理主机报告有 重要日志信息在不经意间丢失。他们开发了 S w a t c h来过滤日志并根据报告的事件（检查到的 模式）执行简单的动作。这个程序有四个目标： • 它应该易于使用。 • 它应该支持一组简单的动作，能在发现特定信息时执行。 • 它应该支持用户自定义的动作以便定义它自己的动作。 • 它应该能根据需要重新配置且不要手工干预。 他们最终基于 p e r l 创建了 S w a t c h程序，该程序已经被广泛应用了许多年并由作者 To d d A t k i n s 做进一步的开发。它已成为许多 U N I X 站点的固定装备，包括一些大型站点。就像 Lockheed Martin Astronautics 的一位系统管理员指出的：“S w a t c h是我们在真实世界环境中真 正使用的东西…”。它变的如此“主流”以至于和一些系统捆绑起来，例如， Red Hat Linux 为 S w a t c h包含了一个易于安装的R P M 软件包。 提示 像Swatch这样具有日志监测和审计能力的工具应该包含在每个UNIX和Linux产品 中，如果没有，就问供应商为什么没有它。 9.2 Swatch概述 S w a t c h可以通过三种方式来使用。它最初被编写成当消息经过 UNIX syslog 设备被写到日 志文件时进行主动地监测。它还能用来审计，就是对一个日志文件进行一遍浏览和检查。最 终，它能够接收来自程序的输入，这对于检查不以纯文本形式保存的进程统计日志很方便。 这三种运行 S w a t c h的方式和相关的选项在9 . 5节中详细介绍。 提示 虽然是为s y s l o g设计的，但 S w a t c h能监测任何日志文件，包括连接时间记录、 sulog、web访问日志等。 第9章 S w a t c h 105 下载 无论S w a t c h怎样运行，工具都依赖两个重要事物：事件模式和相应的动作，这两个都在 一个. s w a t c h r c配置文件中声明。 9.2.1 模式 S w a t c h可以处理种类繁多的日志事件，因为它在正规表达式或关键字出现在日志条目时 匹配它们，“r e b o o t ”、“Filesystem Full ”、“BAD SU ”和“y o u r c o m p e t i t o r. c o m ”都是可能需要 动作的模式。 S w a t c h能接受任何与P e r l 兼容的正规表达式，就像包含在 g r e p程序中的 e g r e p程 序那样。 提示 要了解S w a t c h中使用的正规表达式，可以查看e g r e p （或g r e p ）和P e r l 的帮助文 件。 9.2.2 动作 按照. s w a t c h r c配置文件中的声明， S w a t c h监视特定模式的事件，从失败登录到系统停机， 然后执行下面动作之一： • echo —显示消息，不论是逆转还是加黑文本。