你需要配置/usr/bin/logcheck.sh脚本文件。由于我们正在使用文件的替代路径,即不是/usr/local/etc,我们需要更改以下文件的路径条目:logcheck.hacking, logcheck.violations, logcheck.ignore, logcheck.violations.ignore,和logtail在主要的logcheck.sh脚本中。 Logcheck 的脚本文件/usr/bin/logcheck.sh允许你设置这些选项来修改路径条目和程序的操作。它有很好的注释,而且非常基础。
编辑 logcheck.sh 文件 vi/usr/bin/logcheck.sh并更改以下内容
LOGTAIL=/usr/local/bin/logtail
|
阅读
TMPDIR=/usr/local/etc/tmp
|
阅读
HACKING_FILE=/usr/local/etc/logcheck.hacking
|
阅读
HACKING_FILE=/etc/logcheck/logcheck.hacking
|
VIOLATIONS_FILE=/usr/local/etc/logcheck.violations
|
阅读
VIOLATIONS_FILE=/etc/logcheck/logcheck.violations
|
VIOLATIONS_IGNORE_FILE=/usr/local/etc/logcheck.violations.ignore
|
阅读
VIOLATIONS_IGNORE_FILE=/etc/logcheck/logcheck.violations.ignore
|
IGNORE_FILE=/usr/local/etc/logcheck.ignore
|
阅读
IGNORE_FILE=/etc/logcheck/logcheck.ignore
|
安装 Logcheck 后,在 root 用户的 crontab 中添加一个条目,使 Logcheck 作为 cronjob 运行。你应该为 root 用户编辑本地 crontab 文件,并将 Logcheck 设置为每小时运行一次(推荐),尽管你可以更频繁或更不频繁地运行它。 要在你的 cronjob 中添加 Logcheck,你必须编辑 crontab 并以 root 用户身份添加以下行
# Hourly check Log files for security violations and unusual activity.
00 * * * * /usr/bin/logcheck.sh
|
: 请记住,如果 Logcheck 没有什么有用的信息要说,它不会通过电子邮件报告任何内容。
这些是程序 Logcheck 在你的系统上安装的文件,供你将来参考。
| /etc/logcheck | /usr/bin/logcheck.sh |
| /etc/logcheck/tmp | /usr/bin/logtail |
| /etc/logcheck/logcheck.hacking | /var/log/messages.offset |
| /etc/logcheck/logcheck.violations | /var/log/secure.offset |
| /etc/logcheck/logcheck.violations.ignore | /var/log/maillog.offset |
| /etc/logcheck/logcheck.ignore | |