Предыдущие эпизоды
В предыдущих сериях инструкций мы рассматривали возможность создания вручную обычного профиля данных с помощью Wireshark для программного обеспечения. Данные меры защищают систему от незаконных данных и создают безопасную среду. Ручной сбор данных для крупной компании может быть долгой и скучной задачей, однако достаточно гибкой и удобной для малого и среднего бизнеса. В этой инструкции мы рассмотрим автоматизацию создания профилей сетевых данных, которые могут помочь в различных сложных и неоднозначных ситуациях. Давайте посмотрим!
Возникает первый вопрос, какое программное обеспечение необходимо использовать в данной ситуации. Существуют различные типы программ, но мы выбрали logwatch и acct. Они помогают создавать автоматические отчеты и создавать профильные системы, которые преобразуют рутину в автоматизированную задачу.
Установка и использование утилит
В начале напишите эту команду, чтобы обновить индекс пакета:
sudo apt update –y && sudo apt upgrade –y
Подождите немного, чтобы обновить все пакеты. Это важная часть любой установки. Сразу после этого действия напишите в CLI команды, приведенные ниже, которые установят необходимое программное обеспечение в систему:
sudo apt install acct
После этого установим монитор системного журнала:
sudo apt install logwatch 
После установки просмотрите конфигурационный файл:
cd ~/usr/share/logwatch/default.conf && nano logwatch.conf 
В этом файле вы можете указать, какие журналы следует анализировать, какой уровень детализации отчетов необходим и т.д. Если вы хотите собрать информацию журнала об аутентификации, то вам нужно раскомментировать строку:
LogFile = /var/log/auth.log
После компиляции этого параметра, если вы настроили SMTP–сервер, вы можете записать в конфигурационный файл данные:
MailTo = an1ik@ya.ru
Затем сохраните файл с помощью комбинации клавиш Ctrl+O, Ctrl+X и запустите logwatch:
sudo logwatchИ посмотрим на результат:
Теперь мы переходим к использованию acct. После установки acct вы можете включить его работу с помощью команды:
sudo service acct start
После этого утилита начнет записывать информацию о пользователе в /var/log/account/pacct. Чтобы просмотреть статистику использования ресурсов для конкретного пользователя, вы можете воспользоваться командой sa. Например, чтобы просмотреть статистику для пользователя root, вам необходимо выполнить следующую команду:
ac –p /var/log/account/pacct root 
Вывод
В этой инструкции мы установили утилиты мониторинга и сбора системных данных, которые могут автоматизировать сбор и систематизировать сбор информации о журналах из всех систем и действиях пользователей. Это дополнительный цифровой отпечаток, который мы можем использовать для нашей системы безопасности. В следующем эпизоде мы можем коснуться создания синтетического трафика и профилей пользователей в системе IPS/IDS для защиты. Следите за новыми инструкциями!
