Преглед садржаја
Како прегледати и конфигурисати Линук евиденције на Ubuntu, Debian и CentOS
Као системски администратор, преглед и конфигурисање евиденција је кључна функција за одржавање система безбедним, стабилни и у складу са регулаторним захтевима. У Линуксу постоји неколико различитих евиденција које можете да користите за праћење различитих врста догађаја система. У овом водичу ћемо вас провести кроз кораке прегледа и конфигурисања основних евиденција на системима који покрећу Ubuntu, Debian и CentOS.
Увод у Линук евиденције
Линук евиденције су датотеке које чувају податке о догађајима који се одвијају на систему. Догађаји могу да укључују све, од пријава корисника до промена у систему датотека. Евиденције се могу користити у различите сврхе, укључујући:
* Обухватање безбедности
* Отклањање грешака у систему
* Усклађивање са регулаторним захтевима
* Праћење активности корисника
Преглед евиденција на Ubuntu и Debian
На Ubuntu и Debian системима постоји неколико различитих евиденција које можете да користите. Међу најчешће коришћеним су:
* /var/log/auth.log
: Садржи евиденције о пријавама, одјавама и покушајима пријава
* /var/log/syslog
: Садржи опште евиденције о систему
* /var/log/dpkg.log
: Садржи евиденције о инсталацијама, уклањањима и ажурирањима пакета
* /var/log/kern.log
: Садржи евиденције о језгру система
Да бисте прегледали ове евиденције, можете да користите било који уређивач текста са командне линије, попут nano
или vi
. На пример, да бисте прегледали auth.log
евиденцију, можете да користите следећу команду:
sudo nano /var/log/auth.log
Конфигурисање евиденција на Ubuntu и Debian
Можете да конфигуришете евиденције на Ubuntu и Debian системима користећи алате за конфигурацију rsyslog
. Rsyslog
је услуга за записивање догађаја која се користи за конфигурисање и управљање евиденцијама. Да бисте конфигурисали rsyslog
, можете да измените конфигурациону датотеку /etc/rsyslog.conf
.
Преглед евиденција на CentOS
На CentOS системима постоји неколико различитих евиденција које можете да користите. Међу најчешће коришћеним су:
* /var/log/messages
: Садржи опште евиденције о систему
* /var/log/secure
: Садржи евиденције о пријавама, одјавама и покушајима пријава
* /var/log/audit/audit.log
: Садржи евиденције о безбедносним догађајима
* /var/log/dmesg
: Садржи евиденције о језгру система
Да бисте прегледали ове евиденције, можете да користите било који уређивач текста са командне линије, попут nano
или vi
. На пример, да бисте прегледали messages
евиденцију, можете да користите следећу команду:
sudo nano /var/log/messages
Конфигурисање евиденција на CentOS
Можете да конфигуришете евиденције на CentOS системима користећи auditd
услугу и auditctl
команду. Auditd
је услуга за записивање догађаја која се користи за конфигурисање и управљање евиденцијама. Auditctl
команда се користи за управљање правилима и поставкама auditd
.
Закључак
Преглед и конфигурисање евиденција је кључна функција за системског администратора. На Ubuntu, Debian и CentOS системима постоји неколико различитих евиденција које можете да користите. Које евиденције које ћете користити зависиће од ваших специфичних захтева. Међутим, разумевање како да прегледате и конфигуришете евиденције може вам помоћи да одржите свој систем сигурним, стабилни и у складу са регулаторним захтевима.
Често постављана питања (FAQs)
П1. Како да прегледам све евиденције на мом систему?
О1. Можете да користите следећу команду да бисте прегледали све евиденције на свом систему:
sudo find /var/log -type f -exec zcat {} \;
П2. Како да променим ниво записивања евиденција?
О2. Ниво записивања евиденција можете да промените тако што ћете измените конфигурациону датотеку за вашу услугу за записивање догађаја. На пример, да бисте променили ниво записивања у rsyslog
на Ubuntu
, можете да измените датотеку /etc/rsyslog.conf
.
П3. Како да преусмерим одређене евиденције у другу датотеку?
О3. Можете да преусмерите одређене евиденције у другу датотеку користећи конфигурациону датотеку за вашу услугу за записивање догађаја. На пример, да бисте преусмерили auth.log
евиденцију у датотеку /var/log/custom.log
на Ubuntu
, можете да додате следећу линију у датотеку /etc/rsyslog.conf
:
auth.log /var/log/custom.log
П4. Како да укључим записивање догађаја безбедности?
О4. На CentOS
системима можете да укључите записивање догађаја безбедности тако што ћете покренути следећу команду:
sudo auditctl -e 2
П5. Како да прегледам евиденцију безбедности?
О5. На CentOS
системима можете да прегледате евиденцију безбедности тако што ћете покренути следећу команду:
sudo ausearch -i
П6. Како да конфигуришем евиденцију за ротацију?
О6. На Ubuntu
и Debian
системима можете да конфигуришете евиденцију за ротацију користећи алат logrotate
. На пример, да бисте конфигурисали auth.log
евиденцију за ротацију једном недељно, можете да додате следећу конфигурацију у датотеку /etc/logrotate.conf
:
/var/log/auth.log {
weekly
rotate 4
compress
delaycompress
missingok
notifempty
}
П7. Како да конфигуришем евиденцију за ротацију на CentOS
?
О7. На CentOS
системима можете да конфигуришете евиденцију за ротацију користећи алат logrotate
. На пример, да бисте конфигурисали messages
евиденцију за ротацију једном недељно, можете да додате следећу конфигурацију у датотеку /etc/logrotate.d/messages
:
/var/log/messages {
weekly
rotate 4
compress
delaycompress
missingok
notifempty
}
П8. Како да прегледам локалну евиденцију?
О8. Да бисте прегледали локалну евиденцију, можете да користите last
или lastb
команду. На пример, да бисте прегледали последњих 5 локалних при