我正在观看
http://www.splunk.com的视频,作为IT管理人员的新手,这似乎是让我入门的绝佳解决方案.但我有顾虑.我刚刚离开cPanel,我不想最终依赖于另一个沉重的,陷入困境的系统.我想知道你是否有人使用它,如果是的话,你喜欢或不喜欢它?
我真的在寻找一种解决方案来帮助排序服务器日志并诊断服务器何时受到攻击. Splunk似乎是一个非常好的解决方案,但有更好的解决方案,最好是免费的吗?
安装logcheck包.它将每小时扫描一次日志,并通过电子邮件向您发送任何不正常的内容.从本质上讲,它会在最后一小时通过电子邮件发送任何进入日志的内容,因为它没有忽略规则.除了包含不应该在日志中的内容之外,还有其他攻击规则.电子邮件主题行取决于拾取事物的原因.
原文链接:https://www.f2er.com/ubuntu/348806.html我通常为它构建一个本地忽略文件,因为我发现了我认为正常的东西,但没有现有的忽略规则.
各种syslog备选方案都支持服务器整合,因此您可以将日志转发到单个服务器.但是,我没有养成这样做的习惯.我转发的唯一系统是我的OpenWRT防火墙.
编辑:我在工作中使用Splunk来搜索日志文件,但如果我知道我正在寻找的特定日志,我更可能使用更少.它确实具有警报功能,但我们不使用它们.我希望他们会在与已知记录的比赛中发出警报.如果您在没有警报规则的情况下遇到新问题,这可能会导致许多漏报.我喜欢像logcheck那样得到误报. Splunk虽然可能有更好的警报时效性.
我确实从fail2ban获得了导致它触发的案例的及时警报.它还维护原始来源的黑名单条目.
