Swatchはログの自動監視を行うツールであり、何を監視するのかは人間の作業である事は忘れてはいけません。常にログを監視し、不明な点があると必ずインターネットなどで調べます。監視した方がよいログであれば、定義ファイルをどんどん更新していきます。
このように、メールクライアント側で、メールをフィルタリングする事で、Linus システムが出力するログをオートメーションで仕分けする事もできます。
ログを閲覧して段階的に構築していきますが、システムの状態が一目で把握できるのはとても気持ちが良いです。
他のメールサーバーへ転送すると、万が一ハッキングされたとき足跡が残るので追跡調査が出来ます。自メールサーバーが同じコンピュータであれば意味がありません。
また、これらのログには重要な情報が含まれるのでプロバイダのメールサーバーなど外部ネットワークへ流すのは危険です。
Sendmail の場合、STARTTLSを導入していれば、SSLプロトコルによる転送が行われます。 SSL暗号化プロトコルによるメール転送が行われますので、LAN内であればスニッフィングから保護する事ができます。また、SSL POPを導入していれば安全にシステムログを受信する事が出来るようになります。
Swatch は、ログ1行ごとの監視となるため、前後のパターンにマッチして検出する事はできません。パケットレベルで攻撃パターンによる監視するツールに Snort があります。
で紹介していますので、合わせて利用すると良いでしょう。
2001年3月作成 (2005年6月追記・修正)