Serverovny.cz/Fórum/Jak nastavit logování na serveru, abych viděl bezpečnostní incidenty?

Jak nastavit logování na serveru, abych viděl bezpečnostní incidenty?

Přemýšlím o tom, jak správně nastavit logování na svém serveru, protože chci mít přehled o možných bezpečnostních incidentech. Zajímalo by mě, jaké konkrétní logy bych měl sledovat a co všechno bych měl mít zapnuté, abych nezmeškal žádnou důležitou událost. Mám Linuxový server a už jsem slyšel něco o různých nástrojích na logování jako syslog, Auditd nebo ELK stack. Ale nejsem si jistý, co je pro mě nejlepší volba. Mělo by se logovat všechno nebo jen určité typy událostí? Jaké úrovně závažnosti bych měl sledovat? A co třeba logování přístupů k firewallu nebo pokusy o přihlášení? Jak moc detailní by tyto logy měly být, aby mi pomohly při analýze incidentů? A pokud mám víc serverů, jak to všechno konsolidovat na jedno místo? Budu rád za jakékoliv tipy a rady ohledně nastavení a monitoringu logů, abych mohl lépe chránit svůj server před potenciálními hrozbami.

142 slov
1.4 minut čtení
22. 10. 2024
Petr Bednář

Pro dobré logování na Linuxovém serveru je dobrý začátek mít zapnuté základní logy jako syslog a auth.log, kde najdeš pokusy o přihlášení a další systémové události. Pak je fajn nastavit Auditd, ten ti umožní sledovat konkrétní soubory a události, což je užitečné pro detekci podezřelých aktivit. Co se týče firewallu, rozhodně sleduj logy ze systému jako iptables nebo firewalld, abys měl přehled o neúspěšných přístupech. Měl bys logovat věci jako neúspěšné pokusy o přihlášení, změny v systémech (instalace balíčků atd.) a přístupy k citlivým souborům. Co se úrovní závažnosti týče, zaměř se na chyby a varování, klidně si nastav i notifikace na email nebo do Slacku. Pokud máš víc serverů, můžeš zkusit ELK stack (Elasticsearch, Logstash, Kibana), což ti pomůže konsolidovat logy na jedno místo a lépe je analyzovat. To je zatím takový základ, ale určitě nezapomeň pravidelně prověřovat a analyzovat logy, ať ti něco neunikne.

146 slov
1.5 minut čtení
19. 1. 2025
Antonín Musil

Pokud chceš mít přehled o bezpečnostních incidentech, tak je fajn nastavit logování víc než jen základní věci. Začni s syslog, ten ti pomůže logovat systémové události. Pak doporučuji zapnout Auditd, ten je dobrý na sledování všech syscallů a můžeš si nastavit, co přesně chceš monitorovat. Zároveň sleduj logy z firewallu, třeba iptables nebo ufw, to ti ukáže pokusy o útoky.

Co se týče přihlášení, koukej na auth.log – tam najdeš pokusy o přihlášení, včetně selhání. Je dobrý mít alerty na podezřelé aktivity, třeba víc než 5 neúspěšných pokusů o přihlášení během krátké doby.

Pokud máš víc serverů, zvaž ELK stack pro centralizované logování, to ti usnadní analýzu a vyhledávání v logách. Měj na paměti úrovně závažnosti – sleduj alespoň warning a error. A detaily? Měly by být dostatečné pro analýzu incidentů, ale ne zas tak moc, aby ses v tom ztratil. Jednoduše si nastav logy podle toho, co považuješ za důležité a pravidelně je kontroluj.

153 slov
1.5 minut čtení
19. 1. 2025
Radka Hrušková
Serverovny.cz/Články/Serverová bezpečnost
Jak efektivně monitorovat bezpečnostní incidenty na serveru: Tipy, nástroje a technikyV tomto článku se dozvíte, jak efektivně sledovat bezpečnostní incidenty na serveru. Zaměříme se na osvědčené nástroje, techniky a tipy pro identifika...
1000 slov
10 minut čtení
24. 9. 2024
Karolína Malá
Přečíst článek
Podobné otázky