使用WGCLOUD工具对ubuntu服务器进行入侵检测分析
WGCLOUD监测平台,有个日志监控模块,我们本文就用它来进行ubuntu的入侵检测分析
准备:ubuntu 20,WGCLOUD v3.4.5
ubuntu的登录日志文件,用于分析用户登录行为:/var/log/auth.log,我们今天就用ubuntu了
提示:如果是centos系统,分析用户登录行为的日志文件是/var/log/secure
1、我们在日志列表,点击添加按钮
2、输入一些必要的信息,这里我设置的错误关键字为Disconnected,Failed,多个关键字可以用逗号隔开,英文逗号
3、如果系统扫描检测到在日志文件中,包含错误关键字,就会在列表中显示处理,如下图
点击记录,就可以进去看详细的日志信息
再点击查看,就看到日志内容了,其中行首的 Line-254 标识日志文件中的第几行出现的内容,它会把包含关键字的每行都提取出来,展示到页面,如下图
4、日志文件扫描是默认10分钟扫描一次,可以修改,在agent配置文件config/application.properties中,如下
#监控日志文件扫描间隔时间,单位秒,默认10分钟,个人版值不能小于600,专业版可以小于600 logCheckSeconds=600
修改完后,需要重启下agent,才能生效
5、如果我们配置过告警方式,比如邮件,微信,钉钉等方式,当检测到日志包含关键字时候,我们就会收到消息