Vorherige Folge
In der vorherigen Folge Nach Abschluss der Serienanweisung überlegen wir, manuell ein normales Datenprofil mit Wireshark für unsere Software zu erstellen. Das sollte unser System vor Krankheiten schützengitDaten imitieren und eine sichere Umgebung schaffen. Die manuelle Datenerfassung kann für ein großes Unternehmen eine langwierige und langweilige Aufgabe sein, für kleine und mittlere Unternehmen ist sie jedoch recht flexibel und komfortabel. In dieser Anleitung betrachten wir die Automatisierung bei der Erstellung von Netzwerkdatenprofilen, die in verschiedenen komplizierten und mehrdeutigen Situationen hilfreich sein können. Werfen wir einen Blick!
Software
Die erste Frage erscheint: „Welche Art von Software muss in dieser Situation verwendet werden?“ Es gibt verschiedene Arten von Programmenrams, aber wir haben uns für das entschieden Logwatch und Konto. Sie helfen dabei, automatische Berichte zu erstellen und Profilsysteme zu erstellen, die Routinen in einfache Bewegungen umwandeln.
Installieren und nutzen
Schreiben Sie zu Beginn diesen Befehl, um den Index des Pakets zu aktualisieren:
sudo apt update –y && sudo apt upgrade –y
Warten Sie etwas Zeit, um alle Pakete zu aktualisieren. Dies ist ein wichtiger Teil jeder Installation. Direkt nach dieser Aktion schreiben Sie an CLI Führen Sie die folgenden Befehle aus, mit denen die benötigte Software auf unserem System installiert wird:
sudo apt install acct
Danach installieren Sie das Systemprotokoll und überwachen es:
sudo apt install logwatch
Schauen Sie sich nach der Installation die Konfigurationsdatei an:
cd ~/usr/share/logwatch/default.conf && nano logwatch.conf
In dieser Datei können Sie angeben, welche Protokolle analysiert werden sollen, welcher Detaillierungsgrad der Berichte erforderlich ist usw. Wenn Sie Protokollinformationen zur Authentifizierung sammeln möchten, benötigen Sie eine unkommentierte Zeile:
LogFile = /var/log/auth.log
Nach dem Kompilieren dieser Einstellung können Sie, wenn Sie den SMTP-Server konfiguriert haben, in die Konfigurationsdateidaten schreiben:
MailTo = an1ik@ya.ru
Dann speichern Sie die Datei mit einem KombinatTastenkombination Strg+O, Strg+X und Boot-Logwatch:
sudo logwatch
Und schauen Sie sich die Ergebnisse an:
Jetzt verwenden wir acct. Nach der Installation von acct können Sie dessen Betrieb mit dem folgenden Befehl aktivieren:
sudo service acct start
Nachdem dieses Dienstprogramm begonnen hat, Benutzerinformationen in /var/log/account/pacct zu protokollieren. Um Statistiken zur Ressourcennutzung für einen bestimmten Benutzer anzuzeigen, können Sie den Befehl sa verwenden. Um beispielsweise Statistiken für den Benutzer root anzuzeigen, müssen Sie den folgenden Befehl ausführen:
ac –p /var/log/account/pacct root
Zusammenfassung
In dieser Anleitung haben wir Dienstprogramme zur Überwachung und Erfassung von Systemdaten installiert, die das Sammeln und Systematisieren von Informationen über Protokolle aller Systeme und Benutzeraktionen automatisieren können. Es ist ein zusätzliches Digit Ausdruck, den wir für unser Sicherheitssystem verwenden können. In der nächsten Folge können wir auf die Erstellung synthetischer Verkehrs- und Benutzerprofile im IPS/IDS-System zum Schutz eingehen. Stellen Sie den Kanal nicht ein!