セキュリティ / SSL => ログ自動監視ツール Swatch > 3.Swatchで複数のログを監視するには
maillogや、secureなどの他のログを監視したい場合は、それぞれに.swatchrcファイルを作成します。例を挙げて説明します。
ディストリビューションによって、システムログの出力先は異なる場合があるので、実際にログを確認した上で設定を行う必要があります。そのままは使えません。
sendmailの場合、出力するログのレベルをsendmail.cfで調整できます。監視できる内容も変わります。ユーザのホームディレクトリに
/home/swatch/.swatchrc.mail を作成します。ログファイルのアクセス権等、前のページで説明した手順と同じです。
watchfor = /reject/i
mail=root@my_domain.homeip.net
watchfor = /NOQUEUE: Null connection from/i
mail=root@my_domain.homeip.net
一行目の指定はメールの不正中継に関するアタックを検知します。
二行目の指定はPortScanを検知します。
secureログには、ユーザー認証に関するログが書き出されます。これも同じように設定ファイルを作成します。
/home/swatch/.swatchrc.mail を作成します。
watchfor = /refuse/i
mail=root@my_domain.homeip.net
ポートスキャンの徴候を監視し、root宛てにメールを送ります。
オプションを付けずに起動した場合は、 var/log/messageが.swatchrcに設定された内容に基づいて処理されます。
新たに/var/log/maillog、/var/log/messageを監視する場合 -c オプションで先ほど作成した設定ファイルを指定し、-t オプションでlogファイルを指定して新たにSwatchを起動する必要があります。
/var/log/massageの監視
/var/log/maillogの監視
/var/log/secureの監視
起動を確認するには
起動を停止するには、上記コマンドで表示されたプロセス(pid)番号をKillします。
この様に監視したいログ毎に swatchrcファイルを作成し、それぞれ起動することになります。いちいちコマンドをたたくのは面倒なので、次は起動スクリプトに登録し起動時に立ち上がるように設定します。
この標題のトップへ 3 / 7 
