| |
19
Apr 1 13:02:01 ns1 named[124]: XX+/127.0.0.1/1.1.168.192.
in-addr.arpa/PTR/IN
Apr 1 13:02:01 www httpd[123]: GET /login.cgi?username=steffen
Apr 1 13:02:03 www httpd[123]: Starting authorization for
"steffen" from "ws1.selflinux.de"
Apr 1 13:02:04 radius radiusd[125]: autorization request from
"www.selflinux.de" for "steffen"
Apr 1 13:02:04 db kernel: end_request: I/O error, dev 03:02
(hda),
sector 58138452
Apr 1 13:02:04 db postmaster[111]: Database error: disk read
failed
(I/O error)
Apr 1 13:02:04 radius radiusd[125]: authorization request for
"steffen" failed (database error)
Apr 1 13:02:03 www httpd[123]: Authorization for "steffen" failed
(incorrect password)
Abbildung 8: Ausschnitt einer Systemprotokollierung mit syslog
Die Logfiles spiegeln den allgemeinen Systemzustand wieder und tragen so
entscheidend zur Sicherheit bei. Die meisten Einbruchsversuche lassen sich durch
eine gezielte Auswertung der Logfile-Einträge nachvollziehen. Analysewerkzeuge
überprüfen die Logfiles auf sogenannte Reizworte, wie z.B. err, crit, alert
und emerg
Ein Tool, das bei der Auswertung von Logfiles Unterstützung bieten kann, heißt
The Simple Watcher (SWATCH). SWATCH sichtet die von syslog erzeugten
Protokolle untersucht sie auf bestimmte zuvor spezifizierte Reizwörter. Es gibt
mehrere Möglichkeiten, um auf ein eventuelles Auffinden eines solchen
Reizwortes zu reagieren. So ist es z.B. möglich, dass man auf Grund eines
Schlüsselwortes eine E-Mail mit einer entsprechenden Nachricht verschicken
kann, einen Piepton auf der Konsole ausgeben lässt oder ein weiteres Programm
startet[6].Die Aktionen, die in der Konfigurationsdatei festgelegt sehen z.B.
folgendermaßen aus:
bell[Anzahl der Pieptöne], exec[Kommando], mail[Adresse]
Nach erfolgreicher Installations des SWATCH-Paketes, sollte zunächst eine
Konfigurationsdatei erstellt werden, die die Reizworte beinhaltet, nach denen die
Logfiles untersucht werden sollen. Die allgemeine Syntax der Konfigurationsdatei
ist nach folgendem Prinzip aufgebaut:
watchfor
/Reizwort/
|  |
|
| |
|
|
