0.前言
  你覺得直接查看messages很複雜嗎?
  你可以透過logcheck來幫助減緩痛苦.
  
  官方網站: http://www.psionic.com/

 1.安裝
  路徑:/usr/ports/security/logcheck/
       
  
  設定
  安裝的過程中,系統出現如下的說明:
  
  
  照著他的說明操作,不過我為了管理方便,在/usr/local/etc/ 建了
  名為logcheck的資料夾集中管理.
  結果如圖:
  
  
  說明:若您像我一樣有修改存放位置，別忘了將logcheck.sh中的相關位置修改喔.
  
  這幾個檔案分別是設定一些可能的攻擊狀況、侵犯行為、及忽略的狀況。
  
  啟動
  /usr/local/etc/logcheck/logcheck.sh
  不想手動執行，也可以設定cron自動執行
  0 * * * * /usr/local/etc/logcheck/logcheck.sh
  
  檢測方式
  收root信件(預設送往root),若有相關的訊息則有信件提示。
          
  他會幫您分類類似的相關結果~~
         
  Security Violations
  =-=-=-=-=-=-=-=-=-=
  Apr  9 14:38:57 ohaha su: xxxx to root on /dev/ttyp0

  Unusual System Events
  =-=-=-=-=-=-=-=-=-=-=
  Apr  9 14:00:02 ohaha /kernel: Connection attempt to TCP 163.16.1.99:113 from 163.16.1.1:2731
  Apr  9 14:14:53 ohaha /kernel: Connection attempt to TCP 163.16.1.99:113 from 163.16.1.1:2750
  Apr  9 14:38:57 ohaha su: xxxx to root on /dev/ttyp0

  後續
  當然了,並不是所有顯示出來的警告訊息都給全盤接受.
  若想要忽略他,只要仿照logcheck.ignore的格式,將不想要顯示的訊息忽略.
  如我今天不想要收到關於cucipop的啟動訊息.
  我就在剛檔案中,新增一行為cucipop即可.
  相對的,若有訊息沒有出現,則可以在logcheck.hacking或logcheck.violations把他補上去.
  多試幾次 就能夠找到適合你的方式喔.

标签：