logcheck(LogSentry)

logcheck(PortSentry)は、ログをチェックして、異状を発見し他場合、メールを送信してくれるツールです。
logcheckのインストール

面倒なので、portsからインストールしました。
/usr/ports/security/logcheckからインストール出来ます。

logcheckの設定

/usr/local/etc以下に、各ファイルがインストールされていると思います。
■logcheck.hacking
システムに対する攻撃と認識されるキーワードを格納するファイル。
■logcheck.ignore
無視すべきキーワードを格納するファイル。
■logcheck.violations
システムに何らかの害を及ぼす可能性があると認識されるキーワードを格納するファイル。
■logcheck.violations.ignore
logcheck.violations のキーワードに合致しても、例外的に報告しないようにするためのキーワードを格納するファイル。
■logcheck.sh
logcheck.shが実行スクリプト。

どのログファイルを解析するのかは、logcheck.shの中に記述します。

以下logcheck.sh

# FreeBSD 2.x
$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$

$LOGTAIL /var/log/qpopper.log >> $TMPDIR/check.$$

                     .
                     .
                     .
FreeBSDの場合、上記の様な感じで、解析したいログを記述します。

cronで自動化

/etc/crontabに登録して、定期的に自動的に実行させました。

以下crontab
    */30	*	*	*	*	root	/usr/local/etc/logcheck.sh
30分置きに自動実行する設定です。

実行すると、危険なログを発見した場合には、メールがroot宛のアドレスに送信されてきます。(初回を除く)
BACK