Logcheck

• 1　Logcheckとは?
  
  サーバのログを見るのはセキュリティの基本ですが、いちいち読みにいくのは面倒です。Logcheckを使うと定期的にログを確認し、侵入や不審な動作があった場合に知らせてくれます。
  
  
• 2　インストール
  
  下記よりソースをダウンロードします。
  http://www.psionic.com/abacus/logcheck/
  
  展開する。
  

  # cd /usr/local/src/ 　# tar xvfz /tmp/logcheck-1.1.1.tar.gz 　# cd logcheck-1.1.1/

  
  makeはOSによって異なるが、コマンド一つで終了する。
  

  # make linux　←Linuxの場合 　# make freebsd　←freebsdの場合 　# make sun　←Solarisの場合

  
  /usr/local/etc/に下記のファイルが置かれる。
  
  logcheck.sh
  logtail.c
  logcheck.hacking
  logcheck.violations
  logcheck.violations.ignore
  logcheck.ignore
  
  この中のlogcheck.shが実行するスクリプトであり設定を変更するには直接これをエディタで開き記入する。ログの置き場を特に変更していなければ問題なく動くはず。初期設定では報告メールの宛先はrootになっているので、変更したい場合は中の"SYSADMIN="にメールアドレスを記入する。
  
  設定がすんだら直接起動し、指定の宛先に結果のメールが届くか確認する。
  

  # /usr/local/etc/logcheck.sh

  
  
• 3　定期的な実行
  
  無事届いたらcrontabを使い定期的にlogcheckが実行されるようにする。実行頻度に関して、添付のマニュアルには1時間に1度がお勧めとなっている。
  

  # crontab -e

  
  

  9　*　*　*　*　/usr/local/etc/logcheck.sh 　↑1時間ごとの例 　9,24,39,54　*　*　*　*　/usr/local/etc/logcheck.sh 　↑15分ごとの例