Советы по настройке SYSLOG

Файл /etc/syslog. conf обычно настраивается по-разному в различных системах. Просто каждая система выполняет какие-то свои функции. Например, почтовый сервер генерирует множество сообщений, связанных с электронной почтой. Сервер FTP генерирует множество аутентификационных сообщений и сообщений о пересылках файлов (записываются в отдельный файл /var/log/xferlog). Короче говоря, при настройке файла /etc/syslog. conf учитывайте роль, которую играет система.

Существуют два принципиальных подхода к формированию журнальных файлов. В первом случае рекомендуется записывать все или почти все сообщения в один файл, чтобы затем обрабатывать его дополнительными утилитами, такими как swatch и logche ck. Во втором случае рекомендуется разграничивать функции журнальных файлов, используя один для хранения аутентификационных сообщений, другой — для внутренних сообщений системы Syslog (средство syslog), третий — для сообщений от средства mail, четвертый — для сообщений от средства user и т.д. Второй подход проще в плане ручной обработки журнальных файлов. Кроме того, можно писать специализированные сценарии для работы с конкретными журнальными файлами. Впрочем, утилиты swatch и logcheck легко адаптируются и к такому подходу.

С точки зрения безопасности нужно настраивать файл /etc/syslog. conf так, чтобы перехватывалась вся информация, необходимая для оповещения администратора о попытках взлома. Определите для себя, какая информация является существенной, а какую можно проигнорировать. В любом случае для полной уверенности нужно просмотреть множество журнальных файлов, и делать это следует каждый день.