Épisode précédent
Dans l'épisode précédent de l'instruction de la série, nous envisageons de créer manuellement un profil de données normal avec Wireshark pour notre logiciel. Cela devrait protéger notre système contre illegitimatez les données et créez un environnement sécurisé. La collecte manuelle de données pour une grande entreprise peut être une tâche longue et ennuyeuse, mais assez flexible et confortable pour les petites et moyennes entreprises. Dans cette instruction, nous considérerons l'automatisation dans la création de profils de données réseau qui peuvent aider dans différentes situations compliquées et ambiguës. Regardons!
Logiciels
La première question apparaît : « Quel type de logiciel faut-il utiliser dans cette situation ? Il existe différents types de programmesrams, mais nous avons choisi le journal de surveillance ainsi que compte. Ils aident à créer des rapports automatiques et à créer des systèmes de profil qui transforment la routine pour faciliter les déplacements.
Installer et exploiter
Au début écrivez cette commande pour mettre à jour l'index du package :
sudo apt update –y && sudo apt upgrade –y
Attendez un peu de temps pour mettre à niveau tous les packages, c'est une partie importante de toute installation. Juste après cette action, écrivez à CLI commandes ci-dessous, qui installent le logiciel nécessaire sur notre système :
sudo apt install acct
Après cette installation, la surveillance du journal système :
sudo apt install logwatch 
Après l'installation, regardez le fichier de configuration :
cd ~/usr/share/logwatch/default.conf && nano logwatch.conf 
Dans ce fichier, vous pouvez spécifier quels journaux doivent être analysés, quel niveau de détail des rapports est nécessaire, etc. Si vous souhaitez collecter des informations de journal sur l'authentification, vous avez besoin d'une ligne non commentée :
LogFile = /var/log/auth.log
Après avoir compilé ce paramètre si vous avez configuré le serveur SMTP, vous pouvez écrire dans les données du fichier de configuration :
MailTo = an1ik@ya.ru
Enregistrez ensuite le fichier avec une combination des touches Ctrl+O, Ctrl+X et boot logwatch :
sudo logwatchEt regardez les résultats :
Maintenant, nous allons utiliser acct. Après avoir installé acct, vous pouvez activer son fonctionnement à l'aide de la commande :
sudo service acct start
Après que cet utilitaire commence à consigner les informations utilisateur dans /var/log/account/pacct. Pour afficher les statistiques d'utilisation des ressources pour un utilisateur spécifique, vous pouvez utiliser la commande sa. Par exemple, pour afficher les statistiques de l'utilisateur root, vous devez exécuter la commande suivante :
ac –p /var/log/account/pacct root 
Conclusion
Dans cette instruction, nous avons installé des utilitaires de surveillance et de collecte de données système, qui peuvent automatiser la collecte et la systématisation des informations sur les journaux de tous les systèmes et actions des utilisateurs. C'est un di supplémentairegit impression que nous pouvons utiliser pour notre système de sécurité. Dans le prochain épisode, nous pourrons aborder la création de trafic synthétique et de profils d'utilisateurs dans le système IPS/IDS pour la protection. Ne syntonisez pas la chaîne !
