リモートエンドポイントによる破損したサーバーの監視

リモートエンドポイントによる破損したサーバーの監視

私のDebianサーバーは、文書に見られるように頻繁に攻撃を受けます/var/log/auth.log

rsyncすべての重要なログファイルをリモートエンドポイントまたは同じシリーズのエントリに送信してそれらを監視するベストプラクティスがあるかどうか疑問に思います。私はこれについてより良いアイデアを持っている経験豊富な* nixマネージャがあると確信しているので、アイデアに開いています。

答え1

ログを安全な場所に送信することは常に良い考えであり、これを行うにはいくつかの方法があります。

最も基本的な方法は、syslogデーモンにこれを実行させることです。一般的な場合は、syslog次の内容を次のように追加できます/etc/syslog.conf

*.debug        @your.remote.server.address

その後、相手のsyslogデーモン(およびファイアウォール)を設定して、記録されたイベントを受け入れて保存できます。

欠点は、(a)ログがプレーンテキストで送信され、(b)syslogがデフォルトでUDPを使用するため、ログが到着するという保証がないことです(もちろんそうです!)。暗号化されたトンネルを介してログサーバーに送信すると、(a)の問題を軽減できます。

より包括的な解決策は次のとおりです。ログの保存、索引付けおよび保存のためにログを中央サーバーに送信します。設定にはかなりの作業が必要で、収集するサーバーログが多いか、途中で複雑な変換と解析を実行できるようにしたい場合に最適です。

関連情報