Next: Opciones en logcheck.sh
Up: Configuración
Previous: Configuración
Archivos
Al instalar Logcheck quedan en el directorio de instalación los siguientes archivos:
- logcheck.sh
- es el programa que correrá cada vez que sea invocado logcheck.
Es un script en shell normal, e incluye la configuración en un formato fácil
de comprender.
- logcheck.hacking
- tiene la lista de cadenas con las que una línea será
identificada como intento de entrar al sistema o de conseguir información acerca
de él, y por tanto serán reportadas como ataques activos, llamando la atención
de manera especial al administrador.
- logcheck.ignore
- tiene la lista de expresiones que son muy comunes
y no vale la pena reportarlas al administrador.
- logcheck.violations
- tiene la lista de expresiones que pueden ser consideradas
moderadamente peligrosas, y son etiquetadas como violaciones de seguridad.
- logcheck.violations.ignore
- permite ser más específico: Si una línea
concuerda con una de las expresiones de logcheck.violations pero también
concuerda con una de éste archivo, la línea es ignorada.
- tmp
- es el directorio temporal utilizado por el programa para procesar
los datos.
Además de estos archivos, logcheck instala el programa logtail en /usr/local/bin.
Este programa mantiene la información de qué logs han sido analizados y hasta
qué punto, para no perder ni repetir ni una línea.
Logcheck por default analizará los archivos /var/log/messages, /var/log/secure
y /var/log/maillog.
Next: Opciones en logcheck.sh
Up: Configuración
Previous: Configuración
Gunnar Wolf
2000-09-29