[P&AM Lab] some admin tasks
ruyk
lonely.ruyk на mail.ru
Вт Апр 23 02:59:31 MSK 2013
Привет, рассылка.
На работе пара задач интересных появилась, и я к вам за советами:)
1) На одном из серверов необходимо настроить логгирование действий
пользователей (к примеру когда какие команды в консольке набивались),
подключившихся из внешней сети.
Демон наверное auditd не вполне подходит т.к. он работает на слишком
низком уровне. Подозреваю что замучаюсь потом логи анализировать.
Нашёл ещё snoopy(https://github.com/a2o/snoopy). Разделяемая
библиотека, которая вешает хуки на execve вызовы. Тоже не подходит так
как в логи попадает много левой информации, т.к. например при
инициализации bash из .bashrc и profile запускается куча левого хлама.
Решил остановиться на rootsh (http://sourceforge.net/projects/rootsh/)
Могу врать но на сколько я понял он создаёт пару псевдотерминалов между
пользователем и запускаемой программой, и поэтому всё что попадаёт на
экран может быть словленно им и записано в лог.
Как решил задачу:
С помощью директивы openssh сервера ForceCommand будет запускаться
скрипт который будет анализировать переменную SSH_CLIENT и в
соответствии с ней запускать rootsh или обычный bash.
Вроде всё хорошо но не отпускает мысль что я нашёл не оптимальное
решение, есть какие-то штатные средства которые позволят добиться того
же?
2) Совсем коротенько опишу:)
Надо обеспечить передачу логов по шифрованному каналу с одного сервера
на другой.
Так как канал должен быть шифрованным, на сколько я понимаю, syslog и
rsyslog сразу отваливаются.
Из более менее подходящих программ нашёл только nxlog (
http://nxlog-ce.sourceforge.net/)
Есть ли известные вам удобные инструменты для централизованного анализа
логов (не грепить жеж)?
Может кто-то сталкивался с подобной проблемой, насоветуйте пожалуйста
ещё инструментов её решения.
Всем спасибо и заранее дополнительное спасибо ответившим:)
P.S.: Начало появляться это неловкое чувство когда понимаешь что только
ты задаёшь в рассылке вопросы :-[
Подробная информация о списке рассылки Lab