Monitoração permanente do seu sistema operacional

Vamos monitorar o sistema de uma maneira que podemos ver o que acontece de maneira imediata, sem ter que abrir aquivo nenhum (geralmente quando se abre um log, o mal já consumiu o sistema por completo).

[ Hits: 16.730 ]

Por: JavaNunes em 24/06/2004


Monitorando o sistema



Bom, é sempre interessante ter controle total do sistema que usamos, principalmente se usamos um sistema UNIX/Linux, onde vira e mexe alguma coisa gera um loop infinito que acaba travando o sistema totalmente, mesmo com o pam security bem configurado!

Vamos trabalhar com o syslogd então, e configurá-lo de maneira bem dinâmica.

O syslogd é um daemon (programa rodando em background aguardando algo) que guarda as ocorrências sobre o sistema em arquivos na pasta /var/log.

Vamos então com o editor de sua preferência editar o arquivo responsável por ele, que é o /etc/syslog.conf. Sua sintaxe é a seguinte:

FACILIDADE.NÍVEL    DESTINO

As FACILIDADEs definem que raio de programa gerará o log no arquivo especificado em DESTINO. O NÍVEL nos diz em que evento ou momento e de que forma isso deve ser gravado no arquivo.

Veja abaixo a tabela de FACILIDADES (situações que geram avisos):
  • auth - mensagens de segurança/autorização (é recomendável usar authpriv ao invés deste).
  • authpriv - mensagens de segurança/autorização (privativas).
  • cron - daemons de agendamento (cron e at).
  • daemon - outros daemons do sistema que não possuem facilidades específicas.
  • ftp - daemon de ftp do sistema.
  • kern - mensagens de estado do kernel (podem ser preocupantes).
  • lpr - subsistema de impressão.
  • local0 a local7 - reservados para uso local.
  • mail - subsistema de e-mail.
  • news - subsistema de notícias da USENET.
  • security - sinônimo para a facilidade auth (evite usá-la).
  • syslog - mensagens internas geradas pelo syslogd.
  • user - mensagens genéricas de nível do usuário.
  • uucp - subsistema de UUCP.
  • * - confere com todas as facilidades.

Veja agora a lista de níveis de alerta:
  • emerg - o sistema está inutilizável.
  • alert - uma ação deve ser tomada imediatamente para resolver o problema.
  • crit - condições críticas.
  • err - condições de erro.
  • warning - condições de alerta.
  • notice - condição normal, mas significante.
  • info - mensagens informativas.
  • debug - mensagens de depuração.
  • * - confere com todos os níveis.

O segredo está em fazer o destino das mensagens ser, além de um arquivo em /var/log, também um tty desocupado onde possa ser acessado imediatamente na hora da suspeita. Veja o exemplo baixo:

# TODOS AVISOS DE SEGURANÇA E LOGINS SERÃO JOGADOS NOS
# ARQUIVOS TRADICIONAIS E NO tty8 também

authpriv.*     /var/log/secure
authpriv.*     /dev/tty8
# (nunca use espaço e sim TAB)

Repare que você pode fazer isso com todas as entradas que existem no /etc/syslog.conf. Nada impede que o log tenha dois destinos diferentes como o caso acima. Aconteceu algo suspeito no sistema, basta pressionar ALT+F8 ou CTRL+ALT+F8 (no modo gráfico) para ver o que está acontecendo.

Tá, mas você quer ver tudo isso no modo gráfico? Nada o impede de criar um arquivo centralizado para logs, embora ele fique "gordo" demais com o tempo e depois monitorá-lo com o xconsole. Digamos que você defina que o arquivo seja /var/log/LIXO, assim:

*.*    /var/log/LIXO
ou
authpriv.*    /var/log/LIXO  
# (nunca use espaço e sim TAB)

Depois monitore o arquivo com o seguinte comando:

# xconsole -bg black -fg green -fn fixed -file /var/log/LIXO -notify

Isso faz que tudo que seja depositado em /var/log/LIXO seja mostrado pelo xconsole imediatamente.

Bom, se você usa conectiva Linux (como eu), edite o arquivo /usr/lib/kde3/share/config/kdm/Xsetup* e acrescente a linha acima com o xconsole, isso fará que quando o kdm for executado, chame também o xconsole.

Para deixar seu syslogd sendo servidor de logs na rede, apenas use o comando "syslogd -r". Use o ntsysv, marque a opção syslogd, depois digite:

# service syslog restart

Se você usa o KDE, habilite o KnetMonApplet, configure ele para a velocidade menor que existir, por padrão ele vem configurado para 10MB/s, mude pra 36K para monitorar de maneira minuciosa o movimento na sua placa de rede.

Desabilite o applet chato klipper, ponha o knotes que é muito mais util, digamos que você no xconsole viu algum código estranho, pegue-o, cole-o no knotes e simplesmente feche-o, automaticamente. O knotes salva tudo o que nele for digitado e depois abre para você ver com apenas um clique. O KnetMonApplet vem no pacote knetmonapplet-0.6.7-25828cl.i386.rpm.

Bom é só isso, outro dia falo mais de segurança e das práticas bizarras que uso na minha máquina.

Até mais!

   

Páginas do artigo
   1. Monitorando o sistema
Outros artigos deste autor

A mitologia da imunidade a vírus no Linux

Salada mista de Linux

Leitura recomendada

OpenVPN Matriz > Filial com PPTP

Configurando um NAT

Configurando 2 (dois) links ADSL no mesmo servidor

Configurando o CACIC (parte 4)

Servidor Geplanes no Ubuntu - Instalação e utilização

  
Comentários
[1] Comentário enviado por y2h4ck em 24/06/2004 - 08:12h

Acho que um sistema muito interessante para logs e usando o Swatch junto ao E-mail, enviando para o root as informações gerais de logs mais importantes gerados diariamente, que faz com que tenhamos um log a mais em nosso sistema.

Ficou legal o Artigo. Parabéns
Spawn Locoust

[2] Comentário enviado por betosaqua em 25/06/2004 - 15:11h

as informações são geradas na tela ou na para onde foi direcionada

[3] Comentário enviado por pop_lamen em 26/06/2004 - 15:21h

awe.. pra quem gostou. .mas quer algo mais bonitinho.. tentem o "paralogger".. um scriptzinho pra usar o Eterm pra ver logs.. transparente e sem bordas.. bem cool!!!
PROCUREM NO FRESHMEAT

[4] Comentário enviado por elanderson em 27/06/2004 - 22:59h

Funcionou muito bem !!!

[5] Comentário enviado por agk em 29/06/2004 - 15:27h

Parabéns, gostei da tabela de facilidades, isso vai me ajudar a elaborar melhor os logs que eu quero ver.

[6] Comentário enviado por malanga em 04/06/2007 - 21:18h

parabens,


muito bom mesmo

flw


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts