Capita spesso (o dovrebbe capitare) di avere sul nostro server (o su quello di un nostro cliente) tonnellate di log generati: i log dei vari demoni (ssh, iptables, ecc.), i log dei servizi (apache. nginx, bind, ftp, ecc.) e di sistema (syslog, messages , kernel).

Ovviamente, controllare tutti i giorni questa immensa mole di dati per accertarci che non sia successo nulla di spiacevole è davvero oneroso in termi di tempo, di produttività ... e di voglia.

Per l'occasione ci viene incontro un log scanner automatico, indubbiamente datato, ma affidabilissimo: Logcheck.

Logcheck è una semplice utility  progettata per consentire ad un amministratore di sistema di visualizzare i file di log che si generano su macchine sotto il proprio controllo. Lo fa, attraverso una sintesi dei log mandati tramite email, filtrando prima le voci a seconda di espressioni regolari contenuti nel database.

Logcheck è disponibile per tutte le principali distribuzioni GNU/Linux, vedremo un caso d'installazione e d'uso su distribuzioni Debian-based:

root@hostname:/# aptitude install logcheck

il primo passo da compiere dopo l'installazione è impostare il file di configurare/etc/logcheck/logcheck.conf

 Qui è necessario impostare il livello di filtraggio, l’indirizzo che riceverà l’email e se l’invio dei messaggi va fatto nel corpo o come allegato.

Il secondo file da modificare è /etc/logcheck/logcheck.logfiles, in questo file va messo il percorso completo di un file di log, ordinato per riga, che si desidera controllare, ad esempio:

Le regole sono caricate grazie al pacchetto logcheck-database. Ci sono tre strati di regole per il filtraggio:

1. Lo strato degli AVVISI di ATTACO, progettato per rilevare le tracce di tentativi di intrusione attivi.
   I messaggi che danno l’allarme vanno in /etc/logcheck/cracking.d; qualsiasi evento che corrisponde a uno di questi modelli trasforma il rapporto in un rapporto urgente di Attack Alert con l’evento rilevante spostato in una sezione speciale.
   I modelli che annullano tale massima priorità di allarme non vengono utilizzati nella configurazione di default, ma se l’amministratore permette questo strato di filtraggio in logcheck.conf, allora le regole vanno nella directory /etc/logcheck/cracking.ignore.d. Allarmi che corrispondano con le regole in cracking.ignore vengono riclassificati come un falso allarme (cfr. violations.ignore sotto). Si noti che questo significa che sono totalmente ignorati – i messaggi di log gestiti a un livello non sono riportati agli strati inferiori.
2. il livello EVENTI di SICUREZZA, è progettato per rilevare eventi meno critici ma ancora considerati degni di particolare attenzione.
   I messaggi che danno l’allarme vanno in /etc/logcheck/violations.d; qualsiasi evento che corrisponde a uno di questi modell genera un Security Event, con l’evento rilevante spostato in una sezione speciale.
   Modelli che annullano tali allarmi vanno nella directory standard /etc/logcheck/violations.ignore.d; i Security Event apparenti che corrispondono con i modelli violations.ignore vengono scartati come falsi allarmi.
3. Il livello EVENTI di SISTEMA, gestisce tutti i messaggi avanzati nei log.
   Ogni messaggio che non ha raggiunto il livello 1 e 2 è automaticamente un System Event.

È possibile ignorare i messaggi banali e comuni aggiungendoli nella directory /etc/logcheck/ignore.d.

Modalità di funzionamento di Logcheck:

1. lanciate logcheck.sh usando cron,
2. logcheck.sh chiama logtail,
3. logtail determina quando è stata fatta l’ultima lettura e non analizza le vecchie linee,
4. logcheck.sh usa grep sul testo usando le regole da hacking/violations/violations.ignore/ignore files,
5. i messaggi trovati sono mandati per email.

In conclusione, Logcheck può essere un validissimo sostituto dei vostri occhi nel verificare ogni singolo log e segnalarvi gli eventi critici.

All’inizio ci sarà bisogno di qualche configurazione e probabilmente riceverete un molto spam, ma con po’ di pratica sarete in grado di pulire tutte le email e ottenere un report efficiente.