2021/07/29(木) [n年前の日記]
#2 [debian][linux] swatchを設定
_昨日、
swatch について調べていたけど、引き続き監視ルールを設定して実際に動かしてみた。環境は Debian Linux 10 buster。
◎ 監視ルールを設定。 :
監視ルールという呼び方で合ってるのかどうかわからんけど…。/etc/swatch/ ディレクトリを作って、その中にルールファイルを入れておく。
root になって作業。
内容は以下。
swatch の実行は以下。vsftpd のログファイル、/var/log/vsftpd.log を監視させてる。
root になって作業。
mkdir /etc/swatch vi /etc/swatch/swatch_vsftpd.conf
内容は以下。
watchfor /FAIL LOGIN\: Client \"(\d+\.\d+\.\d+\.\d+)\"/
mail=root,subject=swatch(FAIL LOGIN)
exec /usr/bin/echo vsftpd: $1 >> /etc/hosts.deny
- 「FAIL LOGIN: Client "xxx.xxx.xxx.xxx"」という文字列が出現したら、
- rootにメールを送りつつ、
- /etc/hosts.deny に「vsftpd: xxx.xxx.xxx.xxx」を追記する。
swatch の実行は以下。vsftpd のログファイル、/var/log/vsftpd.log を監視させてる。
/usr/bin/swatchdog -c /etc/swatch/swatch_vsftpd.conf -t /var/log/vsftpd.log --daemon-c でルールファイル、-t で監視ログファイルを指定。--daemon でデーモンとして動かす。
◎ 自動実行するように設定。 :
OS再起動時に自動実行するように、systemd用のファイルを作成。
内容は以下にしてみた。
サービスとして有効化。起動。
以下、参考ページ。ありがたや。
_swatch/CentOSの自動起動設定 - src256 wiki
_Swatchdog - Tail logs, match a pattern and triger actions | by Konstantinos Patronas | Medium
_Log Monitoring with Swatchdog - Log-Monitoring-With-Swatch.pdf
vi /etc/systemd/system/swatch_vsftpdlog.service
内容は以下にしてみた。
[Unit] Description=Swatchdog Service fo vsftpd.log After=network.target [Service] Type=forking User=root PIDFile=/run/swatch_vsftpdlog.pid ExecStart=/usr/bin/swatchdog -c /etc/swatch/swatch_vsftpd.conf -t /var/log/vsftpd.log --pid-file /run/swatch_vsftpdlog.pid --daemon > /dev/null 2>&1 [Install] WantedBy=multi-user.target
サービスとして有効化。起動。
systemctl daemon-reload systemctl enable swatch_vsftpdlog systemctl start swatch_vsftpdlog systemctl status swatch_vsftpdlog
以下、参考ページ。ありがたや。
_swatch/CentOSの自動起動設定 - src256 wiki
_Swatchdog - Tail logs, match a pattern and triger actions | by Konstantinos Patronas | Medium
_Log Monitoring with Swatchdog - Log-Monitoring-With-Swatch.pdf
[ ツッコむ ]
以上です。