Episodio anterior
En el episodio anterior En esta instrucción, consideramos la creación manual de un perfil de datos normal con Wireshark para nuestro software. Esto debería proteger nuestro sistema de datos ilegítimos y crear un entorno seguro. La recopilación manual de datos para una gran empresa puede ser una tarea larga y aburrida, sin embargo, es bastante flexible y cómoda para las pequeñas y medianas empresas. En esta instrucción, consideraremos la automatización en la creación de perfiles de datos de red que pueden ayudar en diferentes situaciones complicadas y ambiguas. ¡Echemos un vistazo!
Software
La primera pregunta que surge es: “¿Qué tipo de software se debe utilizar en esta situación?”. Hay varios tipos de programas, pero elegimos el reloj de registro e acct. Ayudan a crear informes automáticos y crean sistemas de perfiles que transforman la rutina para facilitar el movimiento.
Instalar y explotar
Al principio, escriba este comando para actualizar el índice del paquete:
sudo apt update –y && sudo apt upgrade –y
Espere un poco de tiempo para actualizar todos los paquetes, esta es una parte importante de cualquier instalación. Inmediatamente después de esta acción, escriba a CLI Comandos a continuación, que instalan el software necesario en nuestro sistema:
sudo apt install acct
Después de este registro del sistema de instalación, observando:
sudo apt install logwatch 
Después de la instalación, mire el archivo de configuración:
cd ~/usr/share/logwatch/default.conf && nano logwatch.conf 
En este archivo, puede especificar qué registros deben analizarse, qué nivel de detalle de los informes se necesita, etc. Si desea recopilar información de registro sobre la autenticación, necesita una línea sin comentarios:
LogFile = /var/log/auth.log
Después de compilar esta configuración, si ha configurado el servidor SMTP, puede escribir en los datos del archivo de configuración:
MailTo = an1ik@google.io
Luego guarde el archivo con una combinación de teclas Ctrl+O, Ctrl+X y boot logwatch:
sudo logwatchY echa un vistazo a los resultados:
Ahora vamos a usar acct. Después de instalar acct, puede habilitar su funcionamiento usando el comando:
sudo service acct start
Después de que esta utilidad comience a registrar la información del usuario en /var/log/account/pacct. Para ver las estadísticas de uso de recursos de un usuario específico, puede usar el comando sa. Por ejemplo, para ver las estadísticas del usuario raíz, debe ejecutar el siguiente comando:
ac –p /var/log/account/pacct root 
Conclusión
En esa instrucción, instalamos utilidades de monitoreo y recopilación de datos del sistema, que pueden automatizar la recopilación y sistematización de información sobre registros de todos los sistemas y acciones de los usuarios. Es una huella digital adicional que podemos usar para nuestro sistema de seguridad. En el próximo episodio, podemos tocar el tema de la creación de tráfico sintético y perfiles de usuario en el sistema IPS/IDS para protección. ¡No sintonices el canal!
