Како прегледати и конфигурисати Линук евиденције на Ubuntu, Debian и CentOS

За системске администраторе, анализа и прилагођавање евиденција је витална активност за одржавање сигурности, стабилности и усклађености са регулаторним захтевима. У Линукс окружењу, постоји више различитих евиденционих датотека које омогућавају праћење разних системских догађаја. Овај водич ће вас провести кроз процесе прегледа и конфигурисања кључних евиденција на системима који користе Ubuntu, Debian и CentOS дистрибуције.

Увод у Линукс евиденционе датотеке

Линукс евиденције су у суштини датотеке које чувају информације о дешавањима у систему. Ови догађаји могу бити различити, од корисничких пријава до промена у систему датотека. Евиденције служе у различите сврхе, укључујући:

• Побољшање безбедности система
• Решавање проблема и отклоњање грешака
• Усклађивање са прописима и стандардима
• Праћење корисничке активности

Преглед евиденција на Ubuntu и Debian системима

На Ubuntu и Debian системима, постоји неколико различитих евиденционих датотека које се могу користити. Најчешће коришћене укључују:

• /var/log/auth.log: Бележи информације о пријављивањима, одјављивањима и неуспешним покушајима приступа систему.
• /var/log/syslog: Чува опште системске евиденције.
• /var/log/dpkg.log: Садржи податке о инсталирању, уклањању и ажурирању софтверских пакета.
• /var/log/kern.log: Бележи поруке везане за језгро оперативног система.

За преглед ових евиденција, можете користити било који уређивач текста преко командне линије, као што су nano или vi. На пример, да бисте видели садржај auth.log евиденције, користите следећу команду:

sudo nano /var/log/auth.log

Конфигурисање евиденција на Ubuntu и Debian системима

Конфигурацију евиденција на Ubuntu и Debian системима можете прилагодити помоћу rsyslog алата. Rsyslog је услуга за управљање евиденцијама која вам омогућава да дефинишете правила за записивање и ротирање евиденција. Да бисте прилагодили rsyslog, потребно је изменити конфигурациону датотеку која се налази на путањи /etc/rsyslog.conf.

Преглед евиденција на CentOS системима

На CentOS системима, такође постоји више евиденционих датотека које се користе. Најчешће коришћене су:

• /var/log/messages: Садржи опште системске поруке и евиденције.
• /var/log/secure: Бележи активности пријављивања, одјављивања и покушаје приступа систему.
• /var/log/audit/audit.log: Чува евиденције безбедносних догађаја.
• /var/log/dmesg: Евиденције везане за језгро система и хардвер.

Као и код Ubuntu и Debian система, ове евиденције се могу прегледати помоћу уређивача текста попут nano или vi. На пример, да бисте прегледали messages евиденцију, користите следећу команду:

sudo nano /var/log/messages

Конфигурисање евиденција на CentOS системима

На CentOS системима, прилагођавање евиденција се врши помоћу auditd сервиса и auditctl команде. Auditd је сервис за прикупљање догађаја који омогућава праћење и бележење безбедносних активности. Auditctl се користи за управљање правилима и опцијама auditd сервиса.

Закључак

Анализа и конфигурисање евиденционих датотека су од кључног значаја за системске администраторе. На Ubuntu, Debian и CentOS системима, постоји неколико различитих евиденција које се користе, и избор одговарајућих евиденција зависи од конкретних потреба. Разумевање процеса прегледа и конфигурисања евиденција је важно за одржавање сигурног, стабилног и усклађеног система.

Често постављана питања (FAQ)

sudo find /var/log -type f -exec zcat {} \;

sudo auditctl -e 2

sudo ausearch -i

/var/log/auth.log {
    weekly
    rotate 4
    compress
    delaycompress
    missingok
    notifempty
}

/var/log/messages {
    weekly
    rotate 4
    compress
    delaycompress
    missingok
    notifempty
}