Како прегледати и конфигурисати Линук евиденције на Ubuntu, Debian и CentOS

Како прегледати и конфигурисати Линук евиденције на Ubuntu, Debian и CentOS

Као системски администратор, преглед и конфигурисање евиденција је кључна функција за одржавање система безбедним, стабилни и у складу са регулаторним захтевима. У Линуксу постоји неколико различитих евиденција које можете да користите за праћење различитих врста догађаја система. У овом водичу ћемо вас провести кроз кораке прегледа и конфигурисања основних евиденција на системима који покрећу Ubuntu, Debian и CentOS.

Увод у Линук евиденције

Линук евиденције су датотеке које чувају податке о догађајима који се одвијају на систему. Догађаји могу да укључују све, од пријава корисника до промена у систему датотека. Евиденције се могу користити у различите сврхе, укључујући:

* Обухватање безбедности
* Отклањање грешака у систему
* Усклађивање са регулаторним захтевима
* Праћење активности корисника

Преглед евиденција на Ubuntu и Debian

На Ubuntu и Debian системима постоји неколико различитих евиденција које можете да користите. Међу најчешће коришћеним су:

* /var/log/auth.log: Садржи евиденције о пријавама, одјавама и покушајима пријава
* /var/log/syslog: Садржи опште евиденције о систему
* /var/log/dpkg.log: Садржи евиденције о инсталацијама, уклањањима и ажурирањима пакета
* /var/log/kern.log: Садржи евиденције о језгру система

Да бисте прегледали ове евиденције, можете да користите било који уређивач текста са командне линије, попут nano или vi. На пример, да бисте прегледали auth.log евиденцију, можете да користите следећу команду:


sudo nano /var/log/auth.log

Конфигурисање евиденција на Ubuntu и Debian

Можете да конфигуришете евиденције на Ubuntu и Debian системима користећи алате за конфигурацију rsyslog. Rsyslog је услуга за записивање догађаја која се користи за конфигурисање и управљање евиденцијама. Да бисте конфигурисали rsyslog, можете да измените конфигурациону датотеку /etc/rsyslog.conf.

Преглед евиденција на CentOS

На CentOS системима постоји неколико различитих евиденција које можете да користите. Међу најчешће коришћеним су:

* /var/log/messages: Садржи опште евиденције о систему
* /var/log/secure: Садржи евиденције о пријавама, одјавама и покушајима пријава
* /var/log/audit/audit.log: Садржи евиденције о безбедносним догађајима
* /var/log/dmesg: Садржи евиденције о језгру система

Да бисте прегледали ове евиденције, можете да користите било који уређивач текста са командне линије, попут nano или vi. На пример, да бисте прегледали messages евиденцију, можете да користите следећу команду:


sudo nano /var/log/messages

Конфигурисање евиденција на CentOS

Можете да конфигуришете евиденције на CentOS системима користећи auditd услугу и auditctl команду. Auditd је услуга за записивање догађаја која се користи за конфигурисање и управљање евиденцијама. Auditctl команда се користи за управљање правилима и поставкама auditd.

Закључак

Преглед и конфигурисање евиденција је кључна функција за системског администратора. На Ubuntu, Debian и CentOS системима постоји неколико различитих евиденција које можете да користите. Које евиденције које ћете користити зависиће од ваших специфичних захтева. Међутим, разумевање како да прегледате и конфигуришете евиденције може вам помоћи да одржите свој систем сигурним, стабилни и у складу са регулаторним захтевима.

Често постављана питања (FAQs)

П1. Како да прегледам све евиденције на мом систему?

О1. Можете да користите следећу команду да бисте прегледали све евиденције на свом систему:


sudo find /var/log -type f -exec zcat {} \;

П2. Како да променим ниво записивања евиденција?

О2. Ниво записивања евиденција можете да промените тако што ћете измените конфигурациону датотеку за вашу услугу за записивање догађаја. На пример, да бисте променили ниво записивања у rsyslog на Ubuntu, можете да измените датотеку /etc/rsyslog.conf.

П3. Како да преусмерим одређене евиденције у другу датотеку?

О3. Можете да преусмерите одређене евиденције у другу датотеку користећи конфигурациону датотеку за вашу услугу за записивање догађаја. На пример, да бисте преусмерили auth.log евиденцију у датотеку /var/log/custom.log на Ubuntu, можете да додате следећу линију у датотеку /etc/rsyslog.conf:


auth.log /var/log/custom.log

П4. Како да укључим записивање догађаја безбедности?

О4. На CentOS системима можете да укључите записивање догађаја безбедности тако што ћете покренути следећу команду:


sudo auditctl -e 2

П5. Како да прегледам евиденцију безбедности?

О5. На CentOS системима можете да прегледате евиденцију безбедности тако што ћете покренути следећу команду:


sudo ausearch -i

П6. Како да конфигуришем евиденцију за ротацију?

О6. На Ubuntu и Debian системима можете да конфигуришете евиденцију за ротацију користећи алат logrotate. На пример, да бисте конфигурисали auth.log евиденцију за ротацију једном недељно, можете да додате следећу конфигурацију у датотеку /etc/logrotate.conf:


/var/log/auth.log {
weekly
rotate 4
compress
delaycompress
missingok
notifempty
}

П7. Како да конфигуришем евиденцију за ротацију на CentOS?

О7. На CentOS системима можете да конфигуришете евиденцију за ротацију користећи алат logrotate. На пример, да бисте конфигурисали messages евиденцију за ротацију једном недељно, можете да додате следећу конфигурацију у датотеку /etc/logrotate.d/messages:


/var/log/messages {
weekly
rotate 4
compress
delaycompress
missingok
notifempty
}

П8. Како да прегледам локалну евиденцију?

О8. Да бисте прегледали локалну евиденцију, можете да користите last или lastb команду. На пример, да бисте прегледали последњих 5 локалних при