サーバのログを監視するSwatchの導入方法と使い方を解説


投稿日:2014年8月22日
  • 10
  • 18



止めどなくサーバに押し寄せるハッカーによる攻撃

swatch

サーバを無防備な状態でインターネットに繋ぐと、30分でハッキングされる」というショッキングなデータが示す通り、健全なサーバ運用にはセキュリティ対策が必須です。

サーバへの攻撃はポートスキャン・脆弱性の把握・総当たり攻撃・Dos攻撃と多岐に渡ります。

攻撃を確実に防ぐにはログを分析して1つ1つ対策を取る必要があります。
そうなると、どうしても人力での対策には限界があります。

そんな悩めるサーバ管理者の強い味方Swatchについて解説します。Swatchを使えばサーバのログを監視し、予め登録しておいた対策を実行することができます。

1つ1つの設定は単純ですが、複数の要素を組み合わせて動作させるため解説が長くなるので、2回に分けて解説します。
今回は基本編ということで、Swatchのインストールから、基本的な使い方までを解説します。


目次

swatchと今回のスクリプトに必要なパッケージのインストール
Swatchの書式
Swatchの基本的な使い方
メールを送信やthresholdを利用した例


swatchと今回のスクリプトに必要なパッケージのインストール

今回実行する環境はCentOS 6.5を想定しています。CentOS 6.5では公式でSwatchは提供されていないのでepelリポジトリを利用してインストールします。
1つずつインストールしてもいいのですが、yumを利用すれば必要なPerlのライブラリも同時にインストールしてくれるので手間なしです。

外部リポジトリの追加方法は過去の投稿を参照してください。

# yum install swatch --enablerepo=epel
(省略)
Dependencies Resolved

====================================================================================
 Package             Arch            Version            Repository             Size
====================================================================================
Installing:
 swatch             noarch           3.2.3-7.el6        epel                   49 k
Installing for dependencies:
 perl-Bit-Vector    x86_64           7.1-2.el6          base                   169 k
 perl-Carp-Clan     noarch           6.03-2.el6         base                   25 k
 perl-Date-Calc     noarch           6.3-2.el6          base                   210 k
 perl-Date-Manip    noarch           6.24-1.el6         base                   1.4 M
 perl-Time-HiRes    x86_64           4:1.9721-136.el6   base                   48 k
 perl-TimeDate      noarch           1:1.16-11.1.el6    base                   34 k
 perl-YAML-Syck     x86_64           1.07-4.el6         base                   75 k

Transaction Summary
=====================================================================================
Install       8 Package(s)
(省略)

Swatchの書式

設定ファイルの書式

Swatchの設定ファイルは以下の書式で記述します。

設定ファイルの書式

watchfor   /パターン/
	アクション1
	アクション2
	……

パターンにマッチした文字に対して、特定のアクションをする」という設定になる。アクションの行頭にはTabを入れるのを忘れないようにしてください。

パターンについて

パターンにはPerlの正規表現で文字列を指定します。
よく使うのは以下の様な指定方法。

パターン 説明
/hoge/ hogeにマッチ
/hoge/i hogeの大文字、小文字どちらでもマッチ(hoge、HOGEなど)
/hoge|huga/ hogeもしくは、hugaにマッチ
/ho[gn]e/ hogeもしくは、honeにマッチ
/hoge/,/huga/ hogeもしくは、hugaにマッチ(2つのパターンに分ける例)
/h..e/ hで始まり、間に任意の1文字が2つ入り、eで終わる場合にマッチ(hogeなど)
/ho.*e/ hoで始まり、間に任意の1文字が0回以上の繰り返し、eで終わる場合にマッチ(hoooogeなど)

アクションについて

上記パターンに一致した場合に実行されるのがアクションです。

アクション 説明
echo [modes] ターミナルにメッセージを表示。modesにより表示形式を変更可能
bell [N] beep音をN回鳴らす。数字を指定しなければ1回
exec command 指定したコマンドを実行する。スペース区切りでコマンドに引数を渡すことができる。コマンド内で「$0」を指定すると、表示されるログそのものを意味する。「$N」は、N番目のフィールドの文字列を意味する
mail [=address:address:…][,subject=your_text_here] 指定されたアドレスにメールを送信する。メールは複数指定できるほか、サブジェクトの指定が可能。アドレスを指定しなければswatchを起動したユーザーに送信される
pipe command[,keep_open] パイプでコマンドに結果を渡す。keep_openを指定すると異なるパイプが実行されるか、swatchが終了するまでパイプが実行されたままになる
write [user:user:…] swatchを実行しているサーバにログインしているユーザーに、writeコマンドを使用して結果を送信する
throttle hours:minutes:seconds,[use=message|regex] (後述するthreshold推奨)一度検出されたパターンが再度検出された場合、検出を抑えることができる。標準では「use=messges」が指定されており、同じmessagesは検出されない。「use=regex」を指定すると、同じ正規表現の場合は検出されない
continue 通常は、マッチするパターンが検出されると指定されたアクションが実行されて終了するが、continueが指定されている場合はさらにマッチするパターンの検出が行われる
quit マッチするパターンを検出するとswatchが終了する
threshold track_by=”/hoge/”,type=limit,count=1,seconds=15といった具合に指定する。track_byはマッチしする正規表現。typeはlimit,threshold,both。limitはcountの回数だけログを処理する。これは最初のマッチからsecondsの間だけだけ有効。secondsだけ時間が過ぎたら再びリセットされる。

thresholdはcountの回数だけマッチしたら1回ログを処理する。再びcountの数だけログがマッチすれば、もう一度ログを処理する。(例えばcount=3と指定すると、3回マッチして初めて一度だけ処理される。)

bothはcountの回数だけマッチしたらログを1回だけ処理する。thretholdと違い、有効時間内はcountの数だけマッチしてもログは処理されない。

thresholdについてはswatch threshold設定のtypeパラメータに詳しい。

echoのmodesについて

以下のような指定をすることができます。

modes 説明
normal 通常の表示
bold 太字で表示
underscore 下線で表示
blink 点滅で表示
inverse 反転して表示
[color] black、red、green、yellow、blue、magenta、cyan、whiteの色で表示
[color_h] black_、red_h、green_h、yellow_h、blue_h、magenta_h、cyan_h、white_hの色で反転
random 上記のものをランダムに使用

Swatchの基本的な使い方

今回テストするのは以下の条件。

  • 1.ログファイル「/var/log/secure」を監視。
  • 2.特定のユーザーがログインに成功したらコンソールにログを出力する。

Swatch専用のユーザーを作成する方法もありますが、ログファイルの管理が面倒になるのでroot権限で実行することにします。

まずはrootユーザーのホームディレクトリに「swatchrc.secure」という名前の設定ファイルを作成します。

# vi ~/.swatchrc.secure

ログイン成功時にログの一部に「pam_unix(sshd:session): session opened」と出力されるのでこれをパターンに登録します。

watchfor /pam_unix¥(sshd:session¥): session opened/
        echo
Perlでの正規表現は「\ * + . ? { } ( ) [ ] ^ $ - | /」がメタ文字となるため、¥を付けてエスケープ処理する必要があります。

それでは起動します。

# swatch -c ~/.swatchrc.secure -t /var/log/secure &

オプションはそれぞれ「-c」で設定ファイルを指定。「-t」で監視するログを指定。「&」を付けることでバックグラウンドで実行となります。
起動ができたら別の端末でログインしてみてください。
すると以下のようなログがコンソールに表示されるはずです。

Aug 10 15:15:15 example.com sshd[17599]: pam_unix(sshd:session): session opened for user hoge by (uid=0)

起動しているswatchを調べてプロセスを停止する方法

Swatchはそれぞれ独立してログを監視しているので、複数のログを監視するには複数起動する必要があります。
そのためstartやrestartといった起動スクリプトは用意されておらずプロセスを指定して停止する必要があります。

以下のコマンドでプロセス番号を調べて、killコマンドでプロセスを終了してください。

# ps ax | grep swatch
# kill -TERM プロセス番号

メールを送信や、thresholdを利用した例

今回も同じログを監視します。条件は以下のとおりです。

  • 1.パターンに一致したらコンソールに書き出す。
  • 2.タイトルを付けてメールを送信する。
  • 3.以上のアクションをパターンに3回カウントした場合に実行する。
    また30秒経つとカウントはリセットされ、再び30秒位内に3回カウントした時だけ実行される。(つまり30秒間に2回までならルールは実行されない。もしくは30秒間に5回なら1度だけ、6回なら2度ルールが実行される。)
# vi ~/.swatchrc.secure

watchfor /pam_unix¥(sshd:session¥): session opened/
	echo
	mail=hoge@example.com,subject="SSH rogin"
	threshold track_by="/session opened/",type=threshold,count=3,seconds=30

そして前回と同じように実行。

# swatch -c ~/.swatchrc.secure -t /var/log/secure &

再び別の端末で1回だけログインしてみてください。thresholdで3を指定しているので何も起きないと思います。

続けて30秒位内に3回ログインしてみてください。
すると指定したメールアドレスにログが記載されたメールが届くはずです。

もし「line 3: mail: command not found」のように表示される場合はmailコマンドをインストールしてください。

# yum install mailx

以上でswatchの基本的な使い方は終了です。

次の投稿では応用編として攻撃の危険性を分類したり、外部プログラムを利用してファイアーウォールでブロックする方法を解説します。
Swatchでサーバのログを監視して攻撃の対策を自動で実行する方法



現在のページを共有する



現在のページに関連する記事


おすすめの記事


コメントを残す

コメントは認証制のため、すぐには反映されません。

プログラミングに関する質問は「日本語でプログラミングの悩みを解決するQ&Aサイト sukegra」をご利用ください。