Auditd 日志
审计守护进程(auditd)是 Linux 内核的一项功能,用于记录系统调用,例如打开文件、终止进程或创建网络连接。您可以使用这些日志监控系统中的可疑活动。Site24x7 AppLogs 内置支持 auditd 日志。
入门
1. 登录您的 Site24x7 账户。
2. 下载并安装 Site24x7 服务器监控 Agent(Windows | Linux)。
3. 前往管理 > AppLogs > 日志配置文件,选择添加日志配置文件。
4. 输入配置文件名称。
5. 从选择日志类型下拉列表中选择 Auditd 日志。
- 示例日志和日志模式将在下方显示。
示例日志:
[2019-09-04 15:53:15] production.INFO: UPDATE_USER_LOGIN_INFO: User with ID 728 updated to logins=485, last_login=2019-09-04 15:53:15
[2019-09-04 15:53:52] production.INFO: UPDATE_USER_LOGIN_INFO: User with ID 69 updated to logins=156, last_login=2019-09-04 15:53:52
[2019-09-04 17:05:02] production.INFO: HOST_EXIST: FAILED Host in1-smtp does not exist, redirect to public home
这些日志被分成多个字段,每个字段对应相应的值,然后上传至 Site24x7。
- 默认情况下,AppLogs 使用以下日志模式来识别 auditd 日志:
[$Datetime:date$] $Environment$.$Level$: $Message$
- 您可以添加自定义日志模式来替换默认模式。为此,点击铅笔图标并指定您的模式。
6. 选择本地文件作为日志来源。
7. 默认情况下,以下路径用作文件来源:
Linux: "/var/www/html/storage/logs/laravel*.log", "/var/www/*/storage/logs/laravel*.log", "/var/www/html/*/storage/logs/laravel*.log"
- 如果您的来源路径与默认路径不同,请在"要搜索日志的文件列表"字段中指定。
8. 选择监视器或监视器组来采集日志。
9. 点击保存。