一昨日からごそごそと作っていたサーバのログ解析スクリプトが取り敢えず完成。忘れないようにLinux Tipsへ。
-
routerのパケット廃棄情報
TCP/UDPポート毎にパケット数をサマライズして出力する。 MS01-033穴を狙うCode Red/Nimda系ワーム
error_logで"/MSADC/root.exe"が含まれる行を抽出し、時間とIPアドレスを出力する。 error_logのフィルタリング
逆にCode Red/Nimda系など定常ノイズとして無視して良い行をフィルタリングし、要チェックな行だけ出力する。 OpenSSL穴を狙うSlapper系ワーム
mail_error_logで"failed"が含まれる行を抽出し、時間とIPアドレスを出力する。
という情報を毎朝メールで報告してくれようになるのでこれでログチェックが楽になるはず。ログを見ているだけでは不正アクセスを防ぐ事はできないが、いざ事が起った時にはログから分析するしかないので、継続してチェックしておかないと。