######.offset，其中######是檢查的日志文件名 。文件中記錄了logtail開始處理的偏
移量，如果刪除掉，則從文件開始處進行處理 。Logcheck跟蹤日志文件的inode號和文
件大小，如果inode號發(fā)生變化，或者是文件大小比上次運行時的小，logtail會重置
偏移量，處理整個文件 。Logcheck.hacking 文件中包含了系統(tǒng)受到攻擊時的關鍵字 。這個文件的關鍵字比
較稀少，除非能知道某種特定的攻擊方式的特征 。缺省的關鍵字是ＩＳＳ（Internet
Security Scanner）攻擊產生的，或者是sendmail中的地址欄里的非法語法 。在日志文
件中找到了關鍵字就會給管理員發(fā)信 。logcheck.violations 文件中包含了產生否定或拒絕信息的系統(tǒng)事件 。如denIEd，
refused等 。logcheck.violations.ignore　文件中包含了要對logcheck.violations進行反向
查找的關鍵字 。3.2.4 配置為了使logcheck運行正常，先要對syslog.conf進行配置，你應該根據自己的需要
進行配置，下面給出的只是一個例子 。把下面的內容加到/etc/syslog.conf中#記錄mail，news以外的消息
*.*;mail.none;news.none -/var/log/messages
#記錄認證請求
auth.*;authpriv.* /var/log/authlog
#記錄所有的內核消息
kern.* /var/log/kernlog
#記錄警告和錯誤消息
*.warn;*.err /var/log/syslog這四個文件/var/log/messages，/var/log/authlog，/var/log/kernlog，
/var/log/syslog也就是logcheck要檢查的日志文件 。重起syslog，［root@only_you］#/etc/rc.d/init.d/syslog restart用編輯器（vi等）打開文件/usr/local/etc/logcheck.sh，在其中會找到下面的內
容# Linux Red Hat Version 3.x, 4.x
$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/secure >> $TMPDIR/check.$$
$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$這是logcheck自帶的內容，也就是logcheck要檢查的日志文件，把它該為下面的內
容，使之于syslog.conf的內容相一致：（應該根據你配置的syslog.conf進行修改）$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/authlog >> $TMPDIR/check.$$
$LOGTAIL /var/log/kernlog >> $TMPDIR/check.$$
$LOGTAIL /var/log/syslog >> $TMPDIR/check.$$還可以找到一行為　SYSADMIN=root，指的是發(fā)郵件時的收信人，缺省為
root@localhost，本機的root用戶，如果機器與Internet相連，也可以指定真實的帳
號，我就把它改為了only_you@linuxaid.com.cn，這樣就可以隨時收到郵件了，不須用
root帳號登錄到linux機器上去 。在/etc/crontab中增加一項，讓cron定時啟動logcheck 。關于cron的用法請參考相
應文檔 。00,10,20,30,40,50 * * * * root /usr/local/etc/logcheck.sh每10分鐘運行一次 。3.2.5 測試都配置好了，試試效果如何吧 。登錄一下，故意輸錯口令，看看有什么事情發(fā)生 。
１０分鐘以后，我的only_you@linuxaid.com.cn信箱真的收到了一封信，信的內容大致
如下：Apr 26 13:51:13 only_you -- wap[1068]: LOGIN ON pts/1 BY wap FROM
*.*.*.*
Apr 26 13:51:24 only_you PAM_unix[1092]: authentication failure;
wap(uid=500) -> root for system-auth service剛裝好不長時間，logcheck就報告有人試圖登錄到我的機器上來，不知道這位IP為
211.69.197.1的朋友想干什么 。Security Violations
=-=-=-=-=-=-=-=-=-=
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
Unusual System Events
=-=-=-=-=-=-=-=-=-=-=
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1
Apr 26 15:30:53 only_you xinetd[528]: refused connect from 211.69.197.1

推薦閱讀

• 

  負債200萬如何翻身
• 

  村居的景物有哪些 村居的景物有哪些呢
• 

  廚房推拉門如何選擇 廚房推拉門吊軌好還是地軌好呢
• 

  下拉選擇框怎么設置 下拉選擇框怎么設置呢
• 

  計算器上ac代表什么 計算器上ac表示什么
• 

  蘋果和酸奶能一起吃嗎
• 

  急性蕁麻疹如何治療 急性蕁麻疹怎么根治
• 

  英菲克i9參數 英菲克i9有幾個版本
• 

  莫南最后和誰在一起了
• 

  碰到黃碼的自己要隔離嗎
• 

  黃奕痛訴遭前夫孕期家暴 黃奕離婚了嗎
• 

  如何提高文言文的教學效果
• 

  撼路者是什么牌子的車
• 

  趙麗穎好高，我真的不相信趙麗穎身高有1米65
• 

  貓咪拉稀帶血但精神很好 貓咪拉稀還帶血怎么辦
• 

  vivo x60手機參數 X60手機配置

• 在UNIX 系統(tǒng)下得到字符點陣信息
• UNIX進程之間的通信
• 2 SCO UNIX講座
• SCO UNIX系統(tǒng)故障特征、分析及解決
• 在Unix終端上實現多屏功能
• 口令篇 UNIX系統(tǒng)的安全
• unixware和unix openserver比較二
• Cisco路由器配置信息在Unix下的備份、恢復與更新
• SCO UNIX基礎講座--第十二講：使用　TCP/IP
• UNIX操作系統(tǒng)tar命令之隱患及解決方法