Re: вопрос по logcheck
On Sun, Sep 25, 2005 at 12:11:44PM +0300, Eric Pozharski wrote:
> On Fri, Sep 23, 2005 at 11:49:58PM +0500, Ilya Rubinchik wrote:
> > По рекомендации из debian-security, засовываю регекспы ненужных мне
> > строк в ignore.d.server (при REPORTLEVEL="server" разумеется),
> > однако они с тупым упорством появляются в отчете.
>
> Надо по рекомендациям
> /usr/share/doc/logcheck-database/README.logcheck-database
Да-а-а... Стареешь, а самому то прочитать?
> > все равно появляются в отчете. При этом если запустить logcheck с
> > параметров -d (debug), видно, что он файл ignore.d.server/local
> > успешно читает.
>
> Надо в ignore.d.${REPORTLEVEL}/local-${PACKAGENAME}. В данном случае
> -- local-amavis или где там этот сканер.
Имена файлов в данном случае не имеют никакого значения (в принципе, там
может быть один большой foobar и все). Значит по пунктам.
(1) Логи подлежащие разбору пропускаются через все правила определенные
в ignore.d.${REPORTLEVEL}/ -- все что *осталось* сообщается как "System
Events".
(2) Потом логи пропускаются чере все правила определенные в
violations.d/ (в отличие от правил в директориях ignore.d эти правила
односложные, поэтому...)
(3) Сухой остаток пропускается через правила в violations.ignore.d/, но
в этом случае отбрасываются *совпадения*. Все что осталось сообщается
как "Security Events".
(4) Пуснкты (2) и (3) повторяются для cracking.d и cracking.ignore.d;
то что осталось сообщается как "Attack Alerts" (таких пока не видел,
хотя два дня назад кто-то пытался зайти по ssh; честно говоря немного
(ну самую малость) стремно; на всякий случай надо, наконец, включить
tripwire).
Поэтому, решение с симлинками представляется избыточным. Если ложное
срабатывание приходит по Security -- добавить в violations.ignore.d;
если по Attack -- соответственно в cracking.ignore.d.
(по собственному опыту прибивания сообщений leafnode о разрыве по
таймауту, ложное срабатывание на 'ERROR') Подбирается правило до тех пор
пока будучи натравленным на /var/log/syslog (или откуда там оно берется)
в stdout не выходят *только* эти сами ложные срабатывания. Потом
добавляем в пресловутый *.ignore.d/local-${PACKAGENAME} и беремся за
следующее. И это не забывать, что правила в файлах -- extended regexp
(grep -E).
> p.s. Не все в манах. Доки тоже читать надо.
С нескрываемым чувством презрения к самому себе, приношу свои извинения
за скорый и непродуманный ответ. Надеюсь больше такое не повторится.
(Было весьма поучительно. Спасибо.)
--
Torvalds' goal for Linux is very simple: World Domination
(it's third person quote.)
Reply to: