Конфигурация.
Так как мы использовали альтернативное месторасположение файлов, нам необходимо изменить пути к “logcheck.hacking”, “logcheck.violations”, “logcheck.ignore”, “logcheck.violations.ignore” и “logtail” в основном скрипте logcheck.sh. Скрипт файл для Logcheck “/usr/bin/logcheck.sh” позволяет настроить опции, которые модифицируют пути и действия программы. Он хорошо комментирован и очень прост.
Шаг 1.
Редактируйте файл logcheck.sh (vi /usr/bin/logcheck.sh) и измените следующее:
LOGTAIL=/usr/local/bin/logtail
Должна читаться:
LOGTAIL=/usr/bin/logtail
TMPDIR=/usr/local/etc/tmp
Должна читаться:
TMPDIR=/etc/logcheck/tmp
HACKING_FILE=/usr/local/etc/logcheck.hacking
Должна читаться:
HACKING_FILE=/etc/logcheck/logcheck.hacking
VIOLATIONS_FILE=/usr/local/etc/logcheck.violations
Должна читаться:
VIOLATIONS_FILE=/etc/logcheck/logcheck.violations
VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore
Должна читаться:
VIOLATIONS_IGNORE_FILE=/etc/logcheck/logcheck.violations.ignore
IGNORE_FILE=/usr/local/etc/logcheck.ignore
Должна читаться:
IGNORE_FILE=/etc/logcheck/logcheck.ignore
Шаг 2.
Поместите соответствующий элемент в crontab файл пользователя root, чтобы Logcheck выполнялся автоматически каждый час (рекомендуется, можете запускать его чаще или реже).
Для редактирования crontab введите следующую команду:
[root@deep /]# crontab -e
И добавьте следующую строку в crontab:
# Ежечасная проверка системных журналов на предмет
# нарушений защиты и необычной активности.
00 * * * * /usr/bin/logcheck.sh
ЗАМЕЧАНИЕ. Запомните, что Logcheck не присылает отчеты по электронной почте, если ему нечего сказать.
Проинсталлированные файлы.
> /etc/logcheck > /usr/bin/logcheck.sh > /etc/logcheck/tmp > /etc/logcheck/logcheck.hacking > /etc/logcheck/logcheck.violations > /etc/logcheck/logcheck.violations.ignore > /etc/logcheck/logcheck.ignore > /usr/bin/logtail > /var/log/messages.offset > /var/log/secure.offset > /var/log/maillog.offset