サイバーセキュリティ＆人工知能研究所

サーバー監視：Logwatch でお手軽ログ監視

大量なサーバーのログに潜む異常は Logwatch に監視させよう

2014/08/20 : Security

Logwatch とは

２４時間稼働しているサーバーが吐き出すログは大量で、その全てに目を通すのは事実上不可能です。ログの大半を占める正常な動作記録に紛れて、異常を示す少量のログがあっても、それを見落とすなと言うのは無理な相談です。

今回紹介する Logwatch は、ログの中で重要と思われるものだけをまとめて、毎日１回定期的に(root宛てに)メールで報告してくれます。

インストール

Logwatch の最新版は、http://www.logwatch.org/からダウンロードできますが、CentOS6 には標準でパッケージが用意されているので、

インストールされているかどうかは、
で確認できますし、インストールされていなければ、
でインストールできます。

設定

デフォルトの設定は、/usr/share/logwatch/default.conf/logwatch.conf に記述されていて、
ホスト固有の設定をする場合は、/etc/logwatch/conf/logwatch.conf に設定を追加します。

Logwatch は、設定ファイルだけでなく、実行時にオプションをつけることでも、ログディレクトリの指定やレポートメールの宛先やレポートの詳細レベルを変更することができますが、インストール時のデフォルト設定のままでも特に問題ありません。

以下に、Logwatch が毎日メールでレポートしてくれる内容を紹介します。
Logwatch のバージョンや設定や他にインストールしたサービスによって出力される内容は変わります。
私が利用しているバージョンは「Logwatch 7.3.6 (05/19/07)」です。
2014/08/20現在の最新版は、7.4.0 (2011/03/01)となっています。

Cron Begin　～　Cron End

cron で定期的に実行されたジョブの一覧です。
自分が登録／実行した覚えのないジョブが実行されていないかをチェックできます。

Dovecot Begin　～　Dovecot End

Dovecot(POP/IMAPサーバー)についての接続回数が記録されています。
正常終了(Logged out)は問題ありませんが、認証失敗(auth failed, x attemptsやno auth attempts)として不正アクセスの回数も記録されています。
不正アクセスの詳細は、この後の pam_unix の dovecot のところに記録されています。

httpd Begin　～　httpd End

Apache(Webサーバ)のログファイル(access_logやerror_log等)のエラーが記録されています。
公開していないファイルに不正アクセスしている様子が、ステータスコード404(Not Found)が発生していることからわかります。
phpMyAdmin や CGI がよく狙われていることがわかります。
Google や Microsoft(Bing) 等のクローラ(bot)のアクセスがあったこともここに記録されています。

Kernel Begin　～　Kernel End

カーネルに関するログが記録されています。
iptable を更新して restart した履歴等が記録されています。

pam_unix Begin　～　pam_unix End

ユーザー認証が記録されています。
上記の Dovecot の不正アクセスの詳細も、ここでわかります。
執拗に辞書攻撃(総当たり攻撃／Brute-force attack)をする様子が記録されています。
他にも、ログイン、sshd、su 等の認証記録の詳細が記録されています。

Postfix Begin　～　Postfix End

Postfix(SMTPサーバ)接続回数が出力されます。
不正アクセスによる接続失敗の詳細も記録されています。

SSHD Begin　～　SSHD End

SSH での接続履歴が記録されています。
接続が成功した場合は、そのIPアドレスまたはホスト名が記録されています。
なんらかの方法でアクセス制御をしている場合は、特定の条件下でしか接続できなくなりますが、不正アクセス等を試みてアクセスが拒否された場合も、どのIPアドレスから接続を何回拒否されたかといった履歴として記録されています。

ftpd-xferlog Begin　～　ftpd-xferlog End

FTPに関する情報が記録されています。
１日にサーバーから転送されたファイルの一覧と容量(TOTAL KB OUT)と、サーバーに転送されたファイルの一覧と容量(TOTAL KB IN)が記録されています。
接続されることを想定していないホストとの接続やファイルの転送の有無をチェックできます。

Disk Space Begin　～　Disk Space End

サーバーのディスク容量について記録されています。

参考

私は、Logwatch でレポートされた不正アクセスの IP アドレスの中から、悪質と思われるものを iptables に登録してハジくようにしています。ただ、その数が日に日に増える一方なので、サーバーのアクセスが重くならないかと心配しています。

---

記述に際しては、細心の注意をしたつもりですが、間違いやご指摘がありましたら、こちらからお知らせいただけると幸いです。

→「世界規模のサイバー攻撃を実感する３」
←「続：世界規模のサイバー攻撃を実感する」


«　戻る