Sección dedicada a las herramientas analizadores de logs que actualmente se están utilizando en los servidores de la Unidad de Imagen y del laboratorio F1.
Calamaris es un script en Perl que genera estadísticas a partir de los archivos de log de Squid. Se ejecuta una vez al día, antes de la rotación de los logs y envía las estadísticas al administrador del sistema. Podemos ver un ejemplo de estos reportes en este enlace.
La instalación y configuración de Calamaris es extermadamente fácil en Debian GNU/Linux. Para instalarlo ejecutaremos:
# apt-get install calamaris |
Una vez se ha bajado el programa, nos hará una serie de preguntas, a las que responderemos[1] de la siguiente forma:
What type of proxy log files do you want to analyse? squid How should the daily analysis of Calamaris be stored? mail How should the weekly analysis of Calamaris be stored? mail How should the monthly analysis of Calamaris be stored? mail Email address to which the daily analysis should be sent -> root |
Al finalizar la configuración, nos generará el siguiente archivo de configuración
# configuration file for calamaris # by Philipp Frauenfelder <[email protected]> # 1998-10-09 # There are three categories: daily, weekly and monthly. For each of these # one line is responsible. There must be a line for each category but only # one. # cat: [daily|weekly|monthly] # mailto: mailaddress, eg. root # webto: path incl. file name, eg. /var/www/calamaris/daily.html. # The script does currently not check wether the directory # exists and fails with a rather ugly error. # todo: [nothing|mail|web|both] # title: try it :-) # cat:mailto:webto:todo:title daily:root:/var/www/calamaris/daily.html:mail:'Squid daily' weekly:root:/var/www/calamaris/weekly.html:mail:'Squid weekly' monthly:root:/var/www/calamaris/monthly.html:mail:'Squid monthly' # what log files should be parsed: [auto|squid|oops] # auto: tries to find the log files in this order: squid, oops # squid: parses a squid log file if available # oops: parses a oops log file if available cache=squid |
Advanced Web Statistics (AWStats) es un analizador de archivos de log de un servidor web escrito en Perl. Muestra todas las estadísticas, incluyendo la cantidad de visitas, páginas visitadas, hits, horas de mayor actividad, buscadores, palabras clave usadas para encontrar el sitio, robots, enlaces rotos y mucho más. Para instalarlo tenemos que teclear:
# apt-get install calamaris |
La configuración se lleva a cabo en el archivo /etc/awstats/awstats.conf y las opciones más interesantes serían:
LogFormat=1 DNSLookup=1 SiteDomain="cancerbero.unileon.es" HostAliases="cancerbero.unileon.es 193.146.99.248" Lang="es" DefaultFile="index.html" |
Cancerbero posee sus propias estadísticas generadas por AWStatas.
log2mail es un demonio que revisa los archivos de log y envía a un correo electrónio a una determinada dirección si se da una expresión regular. Vamos a configurarlo de forma que se envíe un correo al administrador del sistema cada vez que un usuario se conecta a través de ssh al sistema o lo abandona. A continuación se muestran los archivos que se han de editar, así como su contenido:
# sample config file for log2mail
# comments start with '#'
# see source code doc/Configuration for additional information
defaults
sendtime = 20
resendtime = 50
maxlines = 1
template = /etc/log2mail/mail
fromaddr = log2mail
sendmail = /usr/lib/sendmail -oi -t
file = /var/log/messages
pattern = "root login"
mailto = root
file = /var/log/auth.log
pattern = "(ssh) session opened"
mailto = root
pattern = "(ssh) session closed"
mailto = root |
Logcheck es parte del Proyecto Abacus de herramientas de seguridad. Este programa ha sido creado con la intención de ayudar en el procesado de archivos de log generados en sistemas UNIX. Logcheck encuentra las alertas de seguridad en los logs y las envía la correo del administrador. La forma de instalarlo es la siguiente:
# apt-get install logcheck |
Una vez se ha bajado el programa, nos hará una serie de preguntas, que responderemos de la siguiente manera:
The email address to which the mails should be sent -> root |
Esto es todo lo que tenemos que hacer, a partir de este momento, los avisos de seguridad llegarán puntualmente a nuestro correo ;-)