Pemantauan Integritas File – Mengapa Keamanan Anda Berkompromi Tanpa Ini

pengantar

Pemantauan Integritas File sangat penting untuk keamanan bisnis 'TI. Kami memeriksa kebutuhan deteksi malware, mengatasi kekurangan yang tak terelakkan dalam sistem anti-virus.

Malware Detection – Seberapa Efektifkah Anti-Virus?

Ketika malware menghantam sistem – paling sering sistem operasi Windows, tetapi semakin banyak sistem Linux dan Solaris yang terancam (terutama dengan popularitas baru dari workstation Apple yang menjalankan Mac OS X) – itu perlu dijalankan dalam beberapa cara untuk melakukan perbuatan jahatnya.

Ini berarti bahwa beberapa jenis file sistem – yang dapat dijalankan, driver atau dll harus ditanam pada sistem. Trojan akan memastikan bahwa itu dijalankan tanpa intervensi pengguna lebih lanjut dengan mengganti sistem operasi yang sah atau file program. Ketika program berjalan, atau OS melakukan salah satu tugas regulernya, Trojan dieksekusi sebagai gantinya.

Pada workstation pengguna, aplikasi pihak ke-3 seperti browser internet, pembaca pdf dan paket pengguna biasa seperti MS Word atau Excel telah ditargetkan sebagai vektor untuk malware menengah. Ketika dokumen atau spreadsheet dibuka, malware dapat mengeksploitasi kerentanan dalam aplikasi, memungkinkan malware untuk diunduh dan dieksekusi.

Either way, akan selalu ada sejumlah perubahan file yang terkait. File sistem yang sah diganti atau file sistem baru ditambahkan ke sistem.

Jika Anda beruntung, Anda tidak akan menjadi korban pertama dari jenis malware tertentu dan sistem AV Anda – asalkan itu telah diperbarui baru-baru ini – akan memiliki definisi tanda tangan yang diperlukan untuk mengidentifikasi dan menghentikan malware.

Ketika ini tidak terjadi, dan ingatlah bahwa jutaan varian malware baru diperkenalkan setiap bulan, sistem Anda akan dikompromikan, biasanya tanpa Anda mengetahui apa pun tentang hal itu, sementara malware diam-diam pergi tentang bisnisnya, merusak sistem atau mencuri Anda data.

FIM – Penangkapan Malware Sistem Anti-Virus Lainnya, Miss

Yaitu, tentu saja, kecuali Anda menggunakan pemantauan integritas file.

Tingkat perusahaan FIM akan mendeteksi aktivitas sistem file yang tidak biasa. Tidak biasa adalah penting, karena banyak file akan sering berubah pada sistem, jadi sangat penting bahwa sistem FIM cukup cerdas untuk memahami seperti apa operasi reguler untuk sistem Anda dan hanya menandai insiden keamanan yang sebenarnya.

Namun, pengecualian dan pengecualian harus dijaga seminimal mungkin karena FIM berada dalam kondisi terbaik ketika dioperasikan dalam pendekatan 'tanpa toleransi' terhadap perubahan. Malware diformulasikan dengan tujuan yang akan efektif, dan ini berarti ia harus berhasil didistribusikan dan beroperasi tanpa deteksi.

Tantangan distribusi telah melihat banyak cara inovasi. Menggoda email dengan umpan malware dalam bentuk gambar untuk dilihat, hadiah yang akan dimenangkan, dan gosip tentang selebriti semuanya telah berhasil menyebarkan malware. Email phishing memberikan alasan yang meyakinkan untuk mengeklik dan memasukkan detail atau mengunduh formulir, dan email Spear Phishing khusus yang ditargetkan telah bertanggung jawab untuk menipu pengguna yang paling cerdas cybersecurity sekalipun.

Apa pun vektor yang digunakan, setelah malware diterima ke dalam sistem, ia mungkin memiliki sarana untuk menyebar di dalam jaringan ke sistem lain.

Jadi deteksi dini sangat penting. Dan Anda tidak bisa mengandalkan sistem anti-virus Anda untuk menjadi 100% efektif, seperti yang telah kami soroti.

FIM memberikan 'toleransi nol' ini ke perubahan filesystem. Tidak ada menebak-nebak apa yang mungkin atau mungkin bukan malware, menjamin bahwa semua malware dilaporkan, membuat FIM 100% efektif dalam mendeteksi pelanggaran apa pun dari jenis ini.

Ringkasan

FIM sangat ideal sebagai teknologi pendeteksi malware karena tidak rentan terhadap 'tanda tangan lag' atau 'kerentanan zero day' yang merupakan kelemahan sistem anti-virus Achilles. Seperti kebanyakan praktik terbaik keamanan, saran selalu lebih baik, dan mengoperasikan anti-virus (bahkan dengan kekurangannya yang diketahui) bersama dengan FIM akan memberikan perlindungan terbaik secara keseluruhan. AV efektif terhadap malware lawas dan perlindungan otomatisnya akan mengkarantina sebagian besar ancaman sebelum mereka melakukan kerusakan apa pun. Tetapi ketika malware menghindar AV, karena beberapa strain akan selalu dilakukan, FIM real-time dapat menyediakan jaring pengaman yang penting.

File Integrity Monitoring Dan Seni Keamanan Berlapis

Ada seni dan keterampilan untuk membangun kerangka kerja keamanan yang efektif yang membutuhkan proses, metodologi dan seperangkat alat yang tepat untuk lingkungan Anda. 'Seni' keamanan dan kepatuhan yang baik membutuhkan pendekatan terpadu dan berlapis yang dapat terus memantau dan mengevaluasi semua aktivitas Sistem TI secara real-time untuk mengidentifikasi potensi risiko dan ancaman dari sumber internal dan eksternal.

Proses, metodologi, dan perangkat bersatu dalam pendekatan berlapis ini untuk menyediakan keamanan yang dibutuhkan untuk melindungi lingkungan secara efektif dan efisien serta memastikan keadaan yang aman dan patuh. Salah satu contoh paling terkenal dari standar keamanan formal yang menggunakan pendekatan keamanan berlapis adalah PCI DSS. Kepatuhan PCI mengharuskan adopsi semua tindakan praktik terbaik yang telah terbukti untuk keamanan data guna melindungi data pemegang kartu.

Apa Art of Layered Security?

Teknologi ini harus 'berlapis' untuk memaksimalkan keamanan – termasuk Keamanan Perimeter, Firewall, Deteksi Intrusi, Penetrasi & Pengujian Kerentanan, Anti-Virus, Manajemen Patch, Pengerasan Perangkat, Perubahan & Manajemen Konfigurasi, Pemantauan Integritas File, Informasi Keamanan dan Manajemen Log Kejadian

Proyek harus disampaikan dalam pendekatan bertahap – memahami ruang lingkup dan lingkungan, kelompok dan jenis, prioritas dan lokasi untuk membangun gambaran tentang apa yang 'terlihat bagus' bagi lingkungan. Lacak semua aspek perubahan dan gerakan dalam lingkup ini dan pahami bagaimana hal ini terkait dengan proses manajemen perubahan. Mulai kecil dan tumbuh, jangan menggigit lebih dari yang bisa Anda kunyah

Memanfaatkan ekosistem alat terintegrasi – peristiwa dan perubahan terjadi setiap saat. Pastikan sistem memiliki kecerdasan untuk memahami konsekuensi dari kejadian-kejadian ini dan apa dampak yang mungkin mereka miliki, apakah perubahan itu direncanakan atau tidak direncanakan dan bagaimana hal itu telah berdampak pada negara yang patuh.

Pemantauan Integritas File vs. Anti Virus

Pemantauan integritas file berfungsi pada perbandingan perubahan 'hitam dan putih' untuk sistem file. FIM mendeteksi perubahan apa pun ke pengaturan konfigurasi atau file sistem. Dengan cara ini, FIM adalah teknologi yang rentan terhadap alarm palsu, tetapi sangat komprehensif dalam mendeteksi ancaman.

Untuk setiap file, inventarisasi lengkap atribut file harus dikumpulkan, termasuk nilai Hash Aman. Dengan cara ini, bahkan jika Trojan diperkenalkan ke sistem file, ini dapat dideteksi.

Teknologi Anti-Virus bekerja dengan membandingkan file baru ke basisdata 'tanda tangan' malware yang dikenal dan oleh karena itu kurang rentan terhadap alarm palsu. Namun, oleh karena itu definisi AV hanya dapat mendeteksi malware yang dikenal dan diidentifikasi sebelumnya dan sebagai konsekuensinya adalah 'buta' terhadap ancaman 'zero day' dan 'inside man'. Demikian pula, Ancaman Persisten Tingkat Lanjut atau APT yang disukai baik untuk spionase dukungan Pemerintah dan inisiatif pencurian kekayaan intelektual yang sangat diatur akan selalu menggunakan vektor malware yang ditargetkan, digunakan dengan hemat untuk menghindari deteksi untuk jangka waktu yang lama. Dengan cara ini, Antivirus juga merupakan pertahanan yang tidak efektif terhadap APT.

Seni Keamanan Berlapis menentukan bahwa kedua teknologi harus digunakan bersama untuk memberikan perlindungan terbaik terhadap malware. Setiap teknologi memiliki kelebihan dan kekurangan jika dibandingkan dengan yang lain, tetapi kesimpulannya bukan yang satu lebih baik dari yang lain, tetapi kedua teknologi perlu digunakan bersama untuk menyediakan keamanan maksimum untuk data.

Keadaan Seni dalam Pemantauan Integritas File

Keadaan seni di FIM untuk file sistem sekarang memberikan deteksi perubahan file real-time untuk Windows dan Linux atau Unix. Untuk mendeteksi potensi perubahan yang signifikan terhadap file sistem dan melindungi sistem dari malware, penting untuk tidak hanya menjalankan perbandingan sistem file satu kali sehari seperti yang secara tradisional menjadi pendekatan, tetapi untuk memberikan peringatan dalam hitungan detik dari suatu perubahan file terjadi.

Teknologi Integritas File Integrity terbaik juga akan mengidentifikasi siapa yang membuat perubahan, merinci nama akun dan proses yang digunakan untuk melakukan perubahan, penting untuk menyelidiki pelanggaran keamanan secara forensik. Adalah baik untuk mengetahui bahwa potensi pelanggaran telah terjadi tetapi lebih baik lagi jika Anda dapat menetapkan siapa dan bagaimana perubahan itu dibuat.

Pemantauan Integritas File – Persyaratan PCI DSS 10, 10.5.5 dan 11.5

Meskipun FIM atau File-Integrity Monitoring hanya disebutkan secara khusus dalam dua sub-persyaratan dari PCI DSS (10.5.5 dan 11.5), sebenarnya ini adalah salah satu tindakan yang lebih penting dalam mengamankan sistem bisnis dari pencurian data kartu.

Apa itu, dan mengapa itu penting?

Sistem pemantauan Integritas File dirancang untuk melindungi data kartu dari pencurian. Tujuan utama FIM adalah mendeteksi perubahan pada file dan atribut terkaitnya. Namun, artikel ini memberikan latar belakang untuk tiga dimensi berbeda untuk memantau integritas file, yaitu:

– secure FIM berbasis hash, digunakan terutama untuk pemantauan integritas file sistem

– Pemantauan integritas isi file, berguna untuk file konfigurasi dari firewall, router, dan server web

– Pemantauan akses file dan / atau folder, penting untuk melindungi data sensitif

Secure Hash Based FIM

Dalam konteks PCI DSS, file utama yang menjadi perhatian meliputi:

– File sistem misalnya apa pun yang berada di folder Windows / System32 atau SysWOW64, file program, atau untuk file kernel kernel Linux / Unix

Tujuan untuk setiap sistem pemantauan integritas file berbasis hash sebagai tindakan keamanan adalah untuk memastikan bahwa hanya perubahan yang diharapkan, diinginkan dan terencana yang dibuat dalam perangkat lingkup. Alasan untuk melakukan ini adalah untuk mencegah pencurian data kartu melalui malware atau modifikasi program.

Bayangkan bahwa Trojan diinstal ke server Transaksi Kartu – Trojan dapat digunakan untuk mentransfer rincian kartu dari server. Demikian pula, program packet sniffer dapat ditempatkan ke perangkat EPoS untuk menangkap data kartu – jika itu disamarkan sebagai proses Windows atau Unix umum dengan program dan nama proses yang sama maka akan sulit untuk dideteksi. Untuk peretasan yang lebih canggih, bagaimana dengan menanamkan 'backdoor' ke dalam file program kunci untuk memungkinkan akses ke data kartu?

Ini semua adalah contoh insiden keamanan di mana pemantauan File-Integrity sangat penting dalam mengidentifikasi ancaman.

Ingat bahwa pertahanan anti-virus biasanya hanya mengetahui 70% malware di dunia dan organisasi yang dihantam oleh serangan zero-day (nol-hari menandai titik waktu ketika suatu bentuk malware baru pertama kali diidentifikasi – hanya kemudian dapat strategi remediasi atau mitigasi dirumuskan tetapi bisa beberapa hari atau minggu sebelum semua perangkat diperbarui untuk melindunginya.

Seberapa jauh langkah FIM harus diambil?

Sebagai titik awal, penting untuk memantau folder Windows / System32 atau SysWOW64, ditambah Folder Program Aplikasi Pengolahan Data Card utama. Untuk lokasi ini, jalankan inventarisasi harian semua file sistem dalam folder ini dan identifikasi semua penambahan, penghapusan, dan perubahan. Penambahan dan Penghapusan relatif mudah untuk mengidentifikasi dan mengevaluasi, tetapi bagaimana seharusnya perubahan diperlakukan, dan bagaimana Anda menilai signifikansi perubahan halus, seperti atribut file? Jawabannya adalah bahwa perubahan file APAPUN di lokasi-lokasi kritis ini harus diperlakukan sama pentingnya. Sebagian besar pelanggaran keamanan PCI DSS telah dipicu melalui 'manusia dalam' – biasanya karyawan tepercaya dengan hak admin istimewa. Untuk cybercrime saat ini tidak ada aturan.

Pendekatan yang diakui industri untuk FIM adalah untuk melacak semua atribut file dan merekam hash yang aman. Perubahan apa pun pada hash saat pemeriksaan integritas file dijalankan ulang adalah situasi lansiran merah – menggunakan SHA1 atau MD5, bahkan perubahan mikroskopis ke file sistem akan menunjukkan perubahan yang jelas terhadap nilai hash. Ketika menggunakan FIM untuk mengatur keamanan file sistem kunci tidak boleh ada perubahan yang tidak direncanakan atau tidak terduga – jika ada, itu bisa menjadi versi sistem file yang didukung oleh Trojan atau backdoor-enabled.

Itulah mengapa juga penting untuk menggunakan FIM dalam hubungannya dengan sistem manajemen perubahan 'loop tertutup' – perubahan yang direncanakan harus dijadwalkan dan perubahan File Integrity terkait dicatat dan ditambahkan ke catatan Perubahan yang Direncanakan.

File Content / Config File Integrity Monitoring

Sementara checksum hash yang aman adalah sarana yang sempurna untuk mengidentifikasi setiap perubahan file sistem, ini hanya memberitahu kita bahwa perubahan telah dilakukan ke file, bukan apa perubahan itu. Tentu, untuk binary-format executable ini adalah satu-satunya cara yang berarti untuk menyampaikan bahwa perubahan telah dibuat, tetapi cara yang lebih berharga dari pemantauan integritas file untuk file yang 'dapat dibaca' adalah dengan menyimpan catatan dari isi file. Dengan cara ini, jika perubahan dilakukan pada file, perubahan yang tepat yang dilakukan pada konten yang dapat dibaca dapat dilaporkan.

Sebagai contoh, file konfigurasi web (php, aspnet, js atau javascript, konfigurasi XML) dapat ditangkap oleh sistem FIM dan dicatat sebagai teks yang dapat dibaca; setelah itu perubahan akan terdeteksi dan dilaporkan secara langsung.

Demikian pula, jika daftar kontrol akses firewall diedit untuk memungkinkan akses ke server utama, atau konfigurasi startup router Cisco diubah, maka ini dapat memungkinkan seorang hacker sepanjang waktu diperlukan untuk masuk ke server data kartu.

Satu titik terakhir pada pemantauan integritas isi file – Dalam arena Kebijakan Keamanan / Kepatuhan, kunci dan nilai Windows Registry sering dimasukkan di bawah judul FIM. Ini perlu dimonitor untuk perubahan karena banyak hacks melibatkan memodifikasi pengaturan registri. Demikian pula, sejumlah kerentanan umum dapat diidentifikasi dengan analisis pengaturan registri.

Pemantauan Akses File dan / atau Folder

Pertimbangan terakhir untuk pemantauan integritas file adalah bagaimana menangani jenis file lain yang tidak sesuai untuk mendapatkan nilai hash atau pelacakan konten. Sebagai contoh, karena file log, file database dll akan selalu berubah, baik isi dan hash juga akan terus berubah. Teknologi pemantauan integritas file yang bagus akan memungkinkan file-file ini dikecualikan dari template FIM apa pun.

Namun, data kartu masih bisa dicuri tanpa deteksi kecuali ada tindakan lain yang dilakukan. Sebagai contoh skenario, dalam sistem ritel EPoS, kartu transaksi atau rekonsiliasi file dibuat dan diteruskan ke server pembayaran pusat secara terjadwal sepanjang hari perdagangan. File akan selalu berubah – mungkin file baru dibuat setiap kali dengan nama waktu yang tertera sehingga segala sesuatu tentang file selalu berubah.

File akan disimpan di perangkat EPoS di folder aman untuk mencegah akses pengguna ke konten. Namun, seorang 'orang dalam' dengan Hak Admin ke folder dapat melihat file transaksi dan menyalin data tanpa harus mengubah file atau atributnya. Oleh karena itu dimensi akhir untuk Pemantauan Integritas File adalah untuk menghasilkan peringatan ketika ada akses ke file atau folder ini terdeteksi, dan untuk memberikan jejak audit lengkap dengan nama akun yang telah memiliki akses ke data.

Sebagian besar Persyaratan PCI DSS 10 berkaitan dengan pencatatan jejak audit untuk memungkinkan analisis forensik terhadap pelanggaran apa pun setelah kejadian dan menetapkan vektor dan pelaku serangan apa pun.

Nagios Log Monitoring – Memantau File Log di Unix Secara Efektif

Nagios Log File Monitoring: Memonitor file log menggunakan Nagios bisa sama sulitnya dengan aplikasi pemantauan lainnya. Namun, dengan Nagios, setelah Anda memiliki skrip atau alat pemantauan log yang dapat memantau file log tertentu seperti yang Anda inginkan, Nagios dapat diandalkan untuk menangani sisanya. Jenis keserbagunaan inilah yang menjadikan Nagios sebagai salah satu aplikasi pemantauan paling populer dan mudah digunakan yang ada di luar sana. Ini dapat digunakan untuk memantau apa pun secara efektif. Secara pribadi, saya menyukainya. Tidak ada bandingannya!

Nama saya Jacob Bowman dan saya bekerja sebagai spesialis Pemantauan Nagios. Saya telah menyadari, mengingat jumlah permintaan yang saya terima di pekerjaan saya untuk memantau file log, bahwa pemantauan file log adalah masalah besar. Departemen TI memiliki kebutuhan yang sedang berlangsung untuk memantau file log UNIX mereka untuk memastikan bahwa aplikasi atau masalah sistem dapat ditangkap tepat waktu. Ketika masalah diketahui, gangguan yang tidak terencana dapat dihindari sama sekali.

Tetapi pertanyaan umum yang sering ditanyakan oleh banyak orang adalah, aplikasi pemantauan apa yang tersedia yang dapat secara efektif memonitor file log? Jawaban polos untuk pertanyaan ini TIDAK ADA! Aplikasi pemantauan log yang ada membutuhkan terlalu banyak konfigurasi, yang pada dasarnya membuat mereka tidak layak dipertimbangkan.

Pemantauan log harus memungkinkan argumen yang dapat dicolokkan pada baris perintah (bukan dalam file konfigurasi terpisah) dan harus sangat mudah bagi pengguna UNIX rata-rata untuk dipahami dan digunakan. Kebanyakan alat pemantauan log tidak seperti ini. Mereka sering kompleks dan membutuhkan waktu untuk membiasakan diri (melalui membaca halaman pemasangan setup tanpa henti). Menurut saya, ini adalah masalah yang tidak perlu yang dapat dan harus dihindari.

Sekali lagi, saya sangat percaya, agar efisien, seseorang harus dapat menjalankan program langsung dari baris perintah tanpa perlu pergi ke tempat lain untuk mengedit file konfigurasi.

Jadi, solusi terbaik, dalam banyak kasus, adalah menulis alat pemantauan log untuk kebutuhan khusus Anda atau mengunduh program pemantauan log yang telah ditulis untuk jenis lingkungan UNIX Anda.

Setelah Anda memiliki alat pemantauan log, Anda dapat memberikannya kepada nagios untuk dijalankan kapan saja, dan nagios akan menjadwalkannya untuk ditendang secara berkala. Jika setelah menjalankannya pada interval yang ditetapkan, Nagios menemukan masalah / pola / string yang Anda beri tahu untuk diperhatikan, itu akan mengingatkan dan mengirimkan pemberitahuan kepada siapa pun yang Anda inginkan.

Tetapi kemudian Anda bertanya-tanya, jenis alat pemantauan log apa yang harus Anda tulis atau unduh untuk lingkungan Anda?

Program pemantauan log yang harus Anda peroleh untuk memantau file log produksi Anda harus sesederhana seperti di bawah ini tetapi masih harus tetap sangat serbaguna:

Contoh: logrobot / var / log / messages 60 'error' 'panic' 5 10 -foundn

Output: 2 — 1380 — 352 — ATWF — (Mar / 1) – (16:15) — (Mar / 1) – (17:15:00)

Penjelasan:

Opsi "-foundn" mencari / var / log / messages untuk string "error" dan "panic". Setelah menemukannya, itu akan baik membatalkan dengan 0 (untuk OK), 1 (untuk PERINGATAN) atau 2 (untuk KRITIS). Setiap kali Anda menjalankan perintah itu, itu akan memberikan laporan statistik satu baris yang mirip dengan yang ada di Output di atas. Kolom dibatasi oleh "—".

Bidang 1 adalah 2 = yang artinya, ini sangat penting.

Bidang kedua adalah 1380 = jumlah detik sejak string yang Anda tentukan terakhir terjadi di log.

Bidang ke-3 adalah 352 = ada 352 kemunculan string "kesalahan" dan "panik" yang ditemukan di log dalam 60 menit terakhir.

Bidang ke-4 adalah ATWF = Jangan khawatir tentang ini untuk saat ini. Tidak relevan.

5 dan 6 berarti bidang = File log dicari dari (Mar / 1) – (16:15) sampai (Mar / 1) – (17:15:00). Dan dari data yang dikumpulkan dari jangka waktu tersebut, 352 kejadian "kesalahan" dan "panik" ditemukan.

Jika Anda benar-benar ingin melihat semua 352 kejadian, Anda dapat menjalankan perintah di bawah ini dan meneruskan opsi "-show" ke alat logrobot. Ini akan menampilkan ke semua garis yang cocok di log yang berisi string yang Anda tentukan dan ditulis ke log dalam 60 menit terakhir.

Contoh: logrobot / var / log / messages 60 'error' 'panic' 5 10 -show

Perintah "-show" akan menampilkan ke layar semua garis yang ditemukan dalam file log yang berisi string "kesalahan" dan "panik" dalam jangka waktu 60 menit terakhir yang Anda tentukan. Tentu saja, Anda selalu dapat mengubah parameter agar sesuai dengan kebutuhan khusus Anda.

Dengan alat Pemantauan Log Nagios (logrobot) ini, Anda dapat melakukan keajaiban bahwa aplikasi pemantauan terkenal nama besar tidak bisa mendekati performa.

Setelah Anda menulis atau mengunduh skrip atau alat pemantau log seperti yang ada di atas, Anda dapat memiliki Nagios atau CRON menjalankannya secara rutin yang pada gilirannya akan memungkinkan Anda untuk tetap melihat burung pada semua aktivitas yang dicatat dari server penting Anda.

Apakah Anda harus menggunakan nagios untuk menjalankannya secara rutin? Benar-benar tidak. Anda dapat menggunakan apa pun yang Anda inginkan.

Pemantauan Var Log Pesan di Linux – Monitor File Log Anda Secara Efektif

Memonitor file pesan var log: Apakah Anda ingin memonitor file / var / log / messages di server Linux Anda?

Apa sebenarnya artinya memonitor file / var / log / messages pada server Linux? Anda lihat, ada berbagai kesalahan dan insiden yang banyak pengguna Linux mungkin ingin diperhatikan dalam file pesan log var mereka. Dan sementara ekor dan grep yang sederhana dapat mengisolasi pesan yang diinginkan dengan sangat cepat dan mudah, sering ada saatnya ketika sesuatu yang lebih canggih dibutuhkan. Sesuatu yang lebih bisa dikontrol.

Katakanlah misalnya ada krisis di pekerjaan Anda (seperti server crash) dan Anda harus segera melihat file log sistem untuk kesalahan atau pesan tertentu yang akan memberi tahu Anda tentang apa yang terjadi. Apa yang akan Anda lakukan dalam situasi itu? Anda sudah panik. Berapa banyak ekor dan greps yang akan Anda jalankan sebelum Anda menjadi gila?

Bagaimana jika ada perintah pemantauan log yang dapat Anda jalankan yang akan mengambil informasi yang Anda butuhkan berdasarkan kerangka waktu?

Katakanlah Anda mengalami crash server dan atasan di pekerjaan Anda sedang bernapas ke bawah leher Anda untuk jawaban tentang mengapa server turun.

Dalam hal ini, Anda dapat menjalankan ke / var / log / messages file (atau file log sistem UNIX) dan menjalankan perintah seperti yang di bawah ini di mana Anda dapat memilih untuk menarik semua baris dari file log yang memiliki string "kesalahan" dan "panik" di dalamnya, dan itu terjadi dalam 60 menit terakhir. Kerangka waktu 60 menit tentu saja dapat disesuaikan agar sesuai dengan jangka waktu apa pun yang Anda perlukan.

Sintaksis: logrobot (log-file) (menit-ke-pencarian) (string-ke-pencarian1) (string-ke-search2) (aksi) (peringatan) (kritis).

Contoh: logrobot / var / log / messages 60 'error' 'panic' -show 5 10

Baris kode sederhana ini akan menghemat banyak sakit kepala dan dalam beberapa kasus, itu juga akan menyelamatkan Anda pekerjaan Anda.