浅谈Linux系统中Logcheck的安装和配置

　　概述

　　保证系统安全的一项很重要的工作就是定期查看日志文件。系统管理员一般比较忙，没有时间定期完成这项工作，这样就可能带来一些安全问题。

　　下面是Logcheck概括性的介绍：

　　审核和记录系统的事件是非常重要的。特别是当你的计算机连接到Internet上之后，系统管理员如果对“异常”的事件保持警觉，就能防止系统被入侵。在Unix系统中如果仅仅把系统事件作为日志记录下来，而不去查看，还是无济于事。Logchek可以自动地检查日志文件，先把正常的日志信息剔除掉，把一些有问题的日志保留下来，然后把这些信息email给系统管理员。Logcheck被设计成自动运行，定期检查日志文件以发现违反安全规则以及异常的活动。Logcheck用logtail程序记住上次已经读过的日志文件的位置，然后从这个位置开始处理新的日志信息。

　　注意事项

　　下面所有的命令都是Unix兼容的命令。

　　源路径都为“/var/tmp”（当然在实际情况中也可以用其它路径）。

　　安装在RedHat Linux 6.1和6.2下测试通过。

　　要用“root”用户进行安装。

　　Logcheck的版本是1.1.1。

　　软件包的来源

　　Logcheck的主页：http://www.psionic.com/abacus/logcheck/。

　　下载：logcheck-1.1.1.tar.gz。

　　安装软件包需要注意的问题

　　最好在编译前和编译后都做一张系统中所有文件的列表，然后用“diff”命令去比较它们，找出其中的差别并知道到底把软件安装在哪里。只要简单地在编译之前运行一下命令“find /* >Logcheck1”，在编译和安装完软件之后运行命令“find /* > Logcheck2”，最后用命令“diff Logcheck1 Logcheck2 > Logcheck-Installed”找出变化。