Ste*_*ski 1 security unix logwatch
我有一个运行 Logwatch 的 CentOS 5.6 系统。
如果我对此主机执行安全扫描 (Nessus),它会在 Logwatch 输出中产生不必要的噪音。我想定期从内部 IP 和外部 IP 运行这些安全扫描,而不会对安全扫描产生不必要的干扰。
由于我知道这些主机的 IP,是否可以阻止此输出显示在 Logwatch 输出中?
--------------------- pam_unix Begin ------------------------
sshd:
Authentication Failures:
root (scan1.example.org): 1 Time(s)
unknown (scan1.example.org): 1 Time(s)
Invalid Users:
Unknown Account: 1 Time(s)
--------------------- SSHD Begin ------------------------
Failed logins from:
192.168.100.1 (scan1.example.org): 1 time
Illegal users from:
X.Y.123.123 (scan2.example.org): 1 time
**Unmatched Entries**
pam_succeed_if(sshd:auth): error retrieving information about user admin : 1 time(s)
fatal: Write failed: Connection reset by peer : 1 time(s)
Logwatch 提供了*Remove共享脚本,它会告诉 Logwatchgrep -v在稍后处理它们之前忽略包含特定字符串(例如)的行。
/usr/share/logwatch/default.conf/services/sshd.conf到/etc/logwatch/conf/services/sshd.conf# Ignore these hosts
*Remove = 192.168.100.1
*Remove = X.Y.123.123
# Ignore these usernames
*Remove = testuser
3. 现在,不会为这些主机生成日志监视消息。
我不能用ignore.conf 做到这一点。我无法想出一个正则表达式,它允许 Logwatch 打印有关来自邪恶域的攻击的消息:
Failed logins from:
11.12.100.1 (EVILSCAN.example.ru): 1 time
隐藏友好扫描程序生成的消息时:
Failed logins from:
192.168.100.1 (friendscan.example.org): 1 time
执行此操作的 Logwatch 方法的记录非常少,并且无法很好地搜索。
共享脚本 at/usr/share/logwatch/scripts/shared/remove将对字符串执行反向 grep。/usr/share/doc/logwatch-*/HOWTO-Customize-LogWatch文档如何执行这些脚本:
您可以使用以下形式的命令:
*SharedScriptName = 参数
这将执行在 /usr/share/logwatch/scripts/shared/ 目录中找到的名为 'SharedScriptName' 并带有参数 'Arguments' 的脚本。此过滤器将修改服务过滤器的输入。
| 归档时间: |
|
| 查看次数: |
2879 次 |
| 最近记录: |