Archivos

Al instalar Logcheck quedan en el directorio de instalación los siguientes archivos:

logcheck.sh

es el programa que correrá cada vez que sea invocado logcheck. Es un script en shell normal, e incluye la configuración en un formato fácil de comprender.

logcheck.hacking

tiene la lista de cadenas con las que una línea será identificada como intento de entrar al sistema o de conseguir información acerca de él, y por tanto serán reportadas como ataques activos, llamando la atención de manera especial al administrador.

logcheck.ignore

tiene la lista de expresiones que son muy comunes y no vale la pena reportarlas al administrador.

logcheck.violations

tiene la lista de expresiones que pueden ser consideradas moderadamente peligrosas, y son etiquetadas como violaciones de seguridad.

logcheck.violations.ignore

permite ser más específico: Si una línea concuerda con una de las expresiones de logcheck.violations pero también concuerda con una de éste archivo, la línea es ignorada.

tmp

es el directorio temporal utilizado por el programa para procesar los datos.

Además de estos archivos, logcheck instala el programa logtail en /usr/local/bin. Este programa mantiene la información de qué logs han sido analizados y hasta qué punto, para no perder ni repetir ni una línea.

Logcheck por default analizará los archivos /var/log/messages, /var/log/secure y /var/log/maillog.