使用WGCLOUD工具对ubuntu服务器进行入侵检测分析

WGCLOUD监测平台,有个日志监控模块,我们本文就用它来进行ubuntu的入侵检测分析

准备:ubuntu 20,WGCLOUD v3.4.5

ubuntu的登录日志文件,用于分析用户登录行为:/var/log/auth.log,我们今天就用ubuntu了

提示:如果是centos系统,分析用户登录行为的日志文件是/var/log/secure

1、我们在日志列表,点击添加按钮

 

2、输入一些必要的信息,这里我设置的错误关键字为Disconnected,Failed,多个关键字可以用逗号隔开,英文逗号

 

 

3、如果系统扫描检测到在日志文件中,包含错误关键字,就会在列表中显示处理,如下图

 

 

 点击记录,就可以进去看详细的日志信息

 再点击查看,就看到日志内容了,其中行首的 Line-254 标识日志文件中的第几行出现的内容,它会把包含关键字的每行都提取出来,展示到页面,如下图

 

4、日志文件扫描是默认10分钟扫描一次,可以修改,在agent配置文件config/application.properties中,如下

#监控日志文件扫描间隔时间,单位秒,默认10分钟,个人版值不能小于600,专业版可以小于600
logCheckSeconds=600

修改完后,需要重启下agent,才能生效

5、如果我们配置过告警方式,比如邮件,微信,钉钉等方式,当检测到日志包含关键字时候,我们就会收到消息

 

posted @ 2023-03-26 21:49  沧海1980  阅读(254)  评论(0编辑  收藏  举报