FreeBSD/swatch の編集

*swatch [#jcadc0b0] ログの自動監視ツール #contents **インストール [#tb989a57] # cd /usr/ports/security/swatch # make install clean **/etc/rc.conf[#x1ae37db] # swatch swatch_enable="YES" swatch_rules="1" swatch_1_flags="--config-file=/usr/local/etc/swatch1.conf --awk-field-syntax --tail-file=/var/log/messages --daemon --pid-file=/var/run/swatch_1.pid" swatch_1_pidfile="/var/run/swatch_1.pid" **swatchオプション [#o2fa4606] --awk-field-syntax $0や$1の変数が使えるようになります。 **/usr/local/etc/swatch.conf [#r3c00e07] |Action|解説|h |echo [modes]|ウインドウにメッセージを表示| |bell [N]|ビープ音をN回鳴らす| |exec command|”command”を実行する| |mail [address=xxx@xxx.jp:xxx@xx...]|指定したアドレスにメールを送信する| |pipe command [,keep_open]|パイプで”command”に結果を返す| |write [user:user:...]|writeコマンドを使って指定したユーザに通知を行う| |throtte hours:minites:seconds, [use=message or regex]|同じメッセージが検出された場合、指定した時間まで通知を行わない| |continue|指定したパターンを見つけても処理を終了せず、続けて処理を行う| |quit|Swatchを終了させる| **設定ファイルの書式 [#i647acc6] watchfor /パターン/ アクション1 アクション2 …… パターンの後ろにiを付けると、パターンの大文字・小文字を区別しなくなります。(例：/ssh/i) ***最近多いDosアタックを検知するとIPFでアクセス拒否にする例 [#e716df90] watchfor /skin\/skin\/skin/ exec "echo '@1 block in quick from $1 to any' | /sbin/ipf -f -" exec "echo $1 Access Stop." **/usr/local/etc/rc.d/swatch.shの編集 [#i01671f6] 初期のシェルでstopをかけると下記のエラーでpidfileを認識してくれません。 # /usr/local/etc/rc.d/swatch.sh stop swatch not running? (check /var/run/swatch_1.pid). ■procnameの個所をコメントアウトすると正常にsotpしてくれます。 # chmod 755 /usr/local/etc/rc.d/swatch.sh # vi /usr/local/etc/rc.d/swatch.sh command=/usr/local/bin/swatch procname=/usr/local/bin/perl ↓ command=/usr/local/bin/swatch #procname=/usr/local/bin/perl

*swatch [#jcadc0b0] ログの自動監視ツール #contents **インストール [#tb989a57] # cd /usr/ports/security/swatch # make install clean **/etc/rc.conf[#x1ae37db] # swatch swatch_enable="YES" swatch_rules="1" swatch_1_flags="--config-file=/usr/local/etc/swatch1.conf --awk-field-syntax --tail-file=/var/log/messages --daemon --pid-file=/var/run/swatch_1.pid" swatch_1_pidfile="/var/run/swatch_1.pid" **swatchオプション [#o2fa4606] --awk-field-syntax $0や$1の変数が使えるようになります。 **/usr/local/etc/swatch.conf [#r3c00e07] |Action|解説|h |echo [modes]|ウインドウにメッセージを表示| |bell [N]|ビープ音をN回鳴らす| |exec command|”command”を実行する| |mail [address=xxx@xxx.jp:xxx@xx...]|指定したアドレスにメールを送信する| |pipe command [,keep_open]|パイプで”command”に結果を返す| |write [user:user:...]|writeコマンドを使って指定したユーザに通知を行う| |throtte hours:minites:seconds, [use=message or regex]|同じメッセージが検出された場合、指定した時間まで通知を行わない| |continue|指定したパターンを見つけても処理を終了せず、続けて処理を行う| |quit|Swatchを終了させる| **設定ファイルの書式 [#i647acc6] watchfor /パターン/ アクション1 アクション2 …… パターンの後ろにiを付けると、パターンの大文字・小文字を区別しなくなります。(例：/ssh/i) ***最近多いDosアタックを検知するとIPFでアクセス拒否にする例 [#e716df90] watchfor /skin\/skin\/skin/ exec "echo '@1 block in quick from $1 to any' | /sbin/ipf -f -" exec "echo $1 Access Stop." **/usr/local/etc/rc.d/swatch.shの編集 [#i01671f6] 初期のシェルでstopをかけると下記のエラーでpidfileを認識してくれません。 # /usr/local/etc/rc.d/swatch.sh stop swatch not running? (check /var/run/swatch_1.pid). ■procnameの個所をコメントアウトすると正常にsotpしてくれます。 # chmod 755 /usr/local/etc/rc.d/swatch.sh # vi /usr/local/etc/rc.d/swatch.sh command=/usr/local/bin/swatch procname=/usr/local/bin/perl ↓ command=/usr/local/bin/swatch #procname=/usr/local/bin/perl