Debian11系统提供的主要用于日志分析的软件,如下为常用的软件列表。
logwatch #用Perl写的方便输出的日志分析软件 fail2ban #禁用造成多个认证错误的IP analog #WEB服务器日志分析 awstats #强大和特性全面的WEB服务器日志分析 sarg #生成squid分析报告 pflogsumm #Postfix日志条目概要 syslog-summary #总结syslog日志文件内容 fwlogwatch #防火墙日志分析软件 squidview #监控和分析squid access.log文件 swatch #有正则表达式、高亮和曲线的日志文件查看器 crm114 #可控的正则表达式分解器和垃圾邮件过滤 icmpinfo #解释ICMP信息
Debian11系统可以在相关的日志文件里查询到各种软件包的历史日志。
/var/log/dpkg.log #dpkg级的软件包活动日志 /var/log/apt/term.log #通用APT活动日志 /var/log/aptitude #aptitude命令活动日志
logcheck程序默认频率为每小时记录一次监视日志文件,它会把异常日志通过邮件发给管理员或者相关人员。logcheck 程序可以通过以下三种模式中的一种或几种方式工作。
偏执(paranoid):此模式非常详细,只限于特殊服务器如防火墙; 服务器(server):推荐大多数服务器使用的默认模式; 工作站(workstation):更简明,过滤掉了更多信息。
logcheck 监控规则可以被分类定制以排除某些信息,以下为通用分类的监控日志。
/etc/logcheck/cracking.d/:被认为是尝试侵入的信息; /etc/logcheck/cracking.ignore.d/:取消限制的信息; /etc/logcheck/violations.d/:被标识为安全警报的信息; /etc/logcheck/violations.ignore.d/:取消此类标识的信息。
小提示:试试吧全栈教程之Debian11教程,主打原创,定期更新,全部免费,欢迎收藏学习和转载分享。