On Fri, 16 Jun 2017 11:41:38 +0300 Sohin Vyacheslav <in.s...@yandex.ua> wrote:
> 14.06.2017 11:32, Victor Wagner пишет: > > Пытался у себя недавно logcheck настроить, чтобы любые аномалии в > > логах немедленно по почте слал. Так и не сумел окончательно подавить > > сообщения об отправленных в спам письмах и ошибках резолвинга DNS. > > > > Но в общем полагаю подход автора пакета logcheck правильным. > > А какой из перечисленных наиболее интересен, кстати: > LOGalyze, Logcheck, MultiTail, Swatchdog, logwatch? Ну это смотря для какой задачи. У меня есть маленький виртуальный сервер на хостинге, куда я хожу в основном почтовым клиентом, weddav-ом и git-ом и роутер на базе Banana PI R1, куда тоже интерактивно логинишься только если надо его поадминистрирвоать. А так веб-интерфейса к transmission хватает. Очевидно, что multitail тут как-то совсем ни при чем, а LOGalyze кажется некоторым оверкиллом. Здесь logcheck и logwatch - примерно то, что надо. Хотя вот система behavioral analysis встроенная в Swatchdog кажется интересной. Вопрос в том что при мониторинге торчащей в интернет системы приходится ожидать неожиданного. Откуда я знаю кто и как ее может ломать? Следовательно отслеживать надо все необычное. Один раз меня очень красиво ломанули, закомментарив access check-и в конфиге апача и таким образом превратили мой сервер в open proxy. Отследить это оказалось возможным по появлению в access_log неожиданно мощного потока прокси-запросов. Хотя, конечно это скоре задача для системы мониторинга изменений файлов (aide), которая свои отчеты шлет по почте независимо от анализатора логов.