WGCLOUD监测平台,有个日志监控模块,我们本文就用它来进行ubuntu的入侵检测分析
准备:ubuntu 20,WGCLOUD v3.4.5
ubuntu的登录日志文件,用于分析用户登录行为:/var/log/auth.log,我们今天就用ubuntu了
提示:如果是centos系统,分析用户登录行为的日志文件是var/log/secure
1、我们在日志列表,点击添加按钮
2、输入一些必要的信息,这里我设置的错误关键字为Disconnected,Failed,多个关键字可以用逗号隔开,英文逗号
3、如果检测在日志文件中检测到包括的错误关键字,就会在列表中显示处理,如下图
点击记录,就可以进去看详细的信息
4、日志文件扫描是默认10分钟扫描一次,可以修改,在agent配置文件config/application.properties中,如下
#监控日志文件扫描间隔时间,单位秒,默认10分钟,个人版值不能小于600,专业版可以小于600 logCheckSeconds=600
修改完后,需要重启下agent,才能生效
5、如果我们配置过告警方式,比如邮件,微信,钉钉等方式,当检测到日志包含关键字时候,我们就会收到消息