Logger og overvåking

Kapittel 11

Plassering av logger

Alle systemlogger ligger i /var/log

Eksempler:

/var/log/syslog → generell systemlogg
/var/log/kern.log → kernel-meldinger
/var/log/auth.log → innlogginger, sudo-bruk og autentisering
/var/log/dmesg → meldinger fra kernel under oppstart
/var/log/apache2/ → webserver-logger (dersom Apache er installert)

Lese logger

less syslog

Åpne logg med mulighet til å bla.

grep <ord> syslog | less

Søk etter bestemte ord i logg og bla i resultatet.

zcat syslog.3.gz

Åpne roterte og komprimerte logger (.gz).

Logrotate

Styrer rotasjon, komprimering og lagringstid for logger.

Konfigurasjon:

/etc/logrotate.conf
/etc/logrotate.d/ (spesifikke innstillinger per tjeneste)

dmesg

Viser kernel-meldinger.

dmesg -H

→ mer lesbar visning med tidsstempel.

Overvåke sikkerhet

/var/log/auth.log

Viktig logg for innlogginger og sudo-bruk. Viser vellykkede og mislykkede forsøk.

/var/log/passwd

Viser brukerkonto-informasjon (ikke passord, men metadata).

/var/log/group

Viser informasjon om grupper og gruppe-tilhørighet.

last

Viser siste innlogginger på systemet.

Tips: vurder logging til ekstern server + bruk NTP (Network Time Protocol) for tidssynkronisering.

Overvåke åpne porter

ss -tuln

Viser åpne porter og hvilke programmer som lytter.

netstat -tuln

(eldre systemer) Gir samme type informasjon.