Re: вопрос по logcheck

To: debian-russian@lists.debian.org
Subject: Re: вопрос по logcheck
From: Eric Pozharski <whynot@ln.ua>
Date: Thu, 6 Oct 2005 22:09:37 +0300
Message-id: <[🔎] 20051006190936.GA32271@orphan.zombinet>
In-reply-to: <20050925091144.GA32272@orphan.zombinet>
References: <1751100475.20050923234958@bcc.com.uz> <20050925091144.GA32272@orphan.zombinet>

On Sun, Sep 25, 2005 at 12:11:44PM +0300, Eric Pozharski wrote:
> On Fri, Sep 23, 2005 at 11:49:58PM +0500, Ilya Rubinchik wrote:
> > По рекомендации из debian-security, засовываю регекспы ненужных мне
> > строк в ignore.d.server (при REPORTLEVEL="server" разумеется),
> > однако они с тупым упорством появляются в отчете.
> 
> Надо по рекомендациям
> /usr/share/doc/logcheck-database/README.logcheck-database

Да-а-а...  Стареешь, а самому то прочитать?

> > все равно появляются в отчете.  При этом если запустить logcheck с
> > параметров -d (debug), видно, что он файл ignore.d.server/local
> > успешно читает.
> 
> Надо в ignore.d.${REPORTLEVEL}/local-${PACKAGENAME}.  В данном случае
> -- local-amavis или где там этот сканер.

Имена файлов в данном случае не имеют никакого значения (в принципе, там
может быть один большой foobar и все).  Значит по пунктам.

(1)  Логи подлежащие разбору пропускаются через все правила определенные
в ignore.d.${REPORTLEVEL}/ -- все что *осталось* сообщается как "System
Events".

(2)  Потом логи пропускаются чере все правила определенные в
violations.d/ (в отличие от правил в директориях ignore.d эти правила
односложные, поэтому...)

(3)  Сухой остаток пропускается через правила в violations.ignore.d/, но
в этом случае отбрасываются *совпадения*.  Все что осталось сообщается
как "Security Events".

(4)  Пуснкты (2) и (3) повторяются для cracking.d и cracking.ignore.d;
то что осталось сообщается как "Attack Alerts" (таких пока не видел,
хотя два дня назад кто-то пытался зайти по ssh;  честно говоря немного
(ну самую малость) стремно;  на всякий случай надо, наконец, включить
tripwire).

Поэтому, решение с симлинками представляется избыточным.  Если ложное
срабатывание приходит по Security -- добавить в violations.ignore.d;
если по Attack -- соответственно в cracking.ignore.d.

(по собственному опыту прибивания сообщений leafnode о разрыве по
таймауту, ложное срабатывание на 'ERROR') Подбирается правило до тех пор
пока будучи натравленным на /var/log/syslog (или откуда там оно берется)
в stdout не выходят *только* эти сами ложные срабатывания.  Потом
добавляем в пресловутый *.ignore.d/local-${PACKAGENAME} и беремся за
следующее.  И это не забывать, что правила в файлах -- extended regexp
(grep -E).

> p.s.  Не все в манах.  Доки тоже читать надо.

С нескрываемым чувством презрения к самому себе, приношу свои извинения
за скорый и непродуманный ответ.  Надеюсь больше такое не повторится.

(Было весьма поучительно.  Спасибо.)

-- 
Torvalds' goal for Linux is very simple: World Domination
(it's third person quote.)

Reply to:

Follow-Ups:
- Re[2]: вопрос по logcheck
  - From: Ilya Rubinchik <ilya@bcc.com.uz>

Prev by Date: Re[4]: Английский Разговорный с преподавателями из США nashej
Next by Date: Re: проблемы с клавиатурой
Previous by thread: Re[4]: Английский Разговорный с преподавателями из США nashej
Next by thread: Re[2]: вопрос по logcheck
Index(es):
- Date
- Thread