搜索看看
使用日志文件监控对Linux服务器进行入侵监控
日志文件监控
是WGCLOUD监控系统中一个非常重要的模块,我们就用它进行Ubuntu的入侵检测分析
准备:ubuntu 20,WGCLOUD v3.5.6
Ubuntu的登录日志文件,用于分析用户登录行为:
/var/log/auth.log
,我们今天就用Ubuntu了
提示:如果是CentOS系统,分析用户登录行为的日志文件是/var/log/secure
1、我们在日志监控列表,点击添加按钮
2、输入一些必要的信息,这里我设置的错误关键字为Disconnected,Failed,多个关键字可以用逗号隔开,英文逗号
3、如果系统扫描检测到在日志文件中,包含错误关键字,就会在列表中显示处理,如下图
点击记录,就可以进去看详细的日志信息
再点击查看,就看到日志内容了,其中行首的 Line-254 标识日志文件中的第几行出现的内容,它会把包含关键字的每行都提取出来,展示到页面,如下图
4、日志文件扫描是默认10分钟扫描一次,可以修改,在agent配置文件config/application.properties中,如下
#自定义监控项监控间隔时间,单位秒,默认10分钟,此功能需要升级到专业版 customDataSeconds=600
修改后,重启agent生效
如果我们
配置过告警通知的方式
,比如邮件,微信,钉钉等方式,当检测到同步异常时候,我们就会收到通知消息