我想在运行某个 iptables DROP 规则时调用发送电子邮件(或运行特定脚本,如果可能的话)。(例如,当我在 5 次 SSH 登录失败后阻止 IP 时,我想运行mail -s "SSH Blocked" info@example.com或类似的东西。有没有办法直接让 iptables 执行这个?
如果没有,那么我想我需要使用外部工具扫描日志,然后发送电子邮件。有什么推荐的工具吗?请注意,我正在使用,systemd所以我使用的是journalctl而不是老式的日志文件。
小智 5
超过 5 年来,我一直在使用由 Trend Micro 资助的ossec hids ( http://www.ossec.net )来提醒系统管理员注意此类(以及许多其他)事件。
Ossec 通过实时扫描日志来阻止和发出警报。您可以将其安装在本地机器上,也可以安装在另一台服务器上。它可以用作中央系统日志服务器。大多数功能都可以根据您的需求进行定制。对于日志聚合和检查(在 PCI 环境中需要),我还没有发现许多其他应用程序能超越 Ossec 提供的功能。
| 归档时间: |
|
| 查看次数: |
818 次 |
| 最近记录: |