私のDebianサーバーは、文書に見られるように頻繁に攻撃を受けます/var/log/auth.log
。
rsync
すべての重要なログファイルをリモートエンドポイントまたは同じシリーズのエントリに送信してそれらを監視するベストプラクティスがあるかどうか疑問に思います。私はこれについてより良いアイデアを持っている経験豊富な* nixマネージャがあると確信しているので、アイデアに開いています。
答え1
ログを安全な場所に送信することは常に良い考えであり、これを行うにはいくつかの方法があります。
最も基本的な方法は、syslogデーモンにこれを実行させることです。一般的な場合は、syslog
次の内容を次のように追加できます/etc/syslog.conf
。
*.debug @your.remote.server.address
その後、相手のsyslogデーモン(およびファイアウォール)を設定して、記録されたイベントを受け入れて保存できます。
欠点は、(a)ログがプレーンテキストで送信され、(b)syslogがデフォルトでUDPを使用するため、ログが到着するという保証がないことです(もちろんそうです!)。暗号化されたトンネルを介してログサーバーに送信すると、(a)の問題を軽減できます。
より包括的な解決策は次のとおりです。ログの保存、索引付けおよび保存のためにログを中央サーバーに送信します。設定にはかなりの作業が必要で、収集するサーバーログが多いか、途中で複雑な変換と解析を実行できるようにしたい場合に最適です。