Инструменты безопасности с открытым исходным кодом

Конфигурирование и запуск Swatch


Swatch - утилита командной строки, и запускается командой swatch с различными параметрами, описанными в табл. 8.1.

Например, команда

./swatch --config-file /home/john/my-swatch-config --daemon

запустит Swatch с конфигурационным файлом /home/john/my-swatch-config вместо подразумеваемого. Программа будет выполняться как фоновый процесс или демон. Эти опции могут задаваться по отдельности или вместе.

Таблица 8.1. Опции команды Swatch

ОпцияОписание
--config-file имя_конфигурационного_файлаSwatch запускается с указанным конфигурационным файлом. По умолчанию используется ./swatchrc.
--restart-time времяSwatch перезапускается в указанное время. Можно использовать знак +, чтобы программа перезапустилась по истечении заданного времени с текущего момента. Это полезно, чтобы освежить имеющийся образ файла журнала.
input-record-separator регулярное_выражениеЭта опция предписывает Swatch применять регулярное выражение для определения границ между записями и строками в файле журнала. По умолчанию используется возврат каретки, но если в вашей операционной системе применяется что-то иное, можно указать это здесь
daemonSwatch запускается как системный демон. Эквивалентно запуску Swatch с ключом & (амперсанд)

Таблица 8.2. Опции Swatch для файлов журналов

ОпцияОписание
--examine файлПредписывает Swatch выполнить полный просмотр указанного файла. Применяется, когда проверяемый файл каждый раз создается заново
--read-pipe программаВместо чтения файла можно заставить Swatch осуществлять ввод непосредственно из канала от указанной программы
--tail файлЧитать только вновь добавленные в файл строки. Это подразумеваемый режим Swatch на файлах журналов, так как новые записи обычно добавляются в конец существующего файла. Это значительно быстрее, чем каждый раз читать весь файл, особенно для журналов, которые могут достигать больших размеров, как, например, журнал Web-сервера

В табл. 8.2 описаны некоторые дополнительные опции, которые можно применять для управления чтением файлов журналов. В каждый момент времени допускается использование только одной из них. Например, команда

./swatch - examine messages - daemon

заставит Swatch при каждом запуске выполнять поиск во всем файле messages, а не только во вновь добавленных строках

Swatch обычно просматривает UNIX-файл messages, а при отсутствии такового по умолчанию читается syslog. При помощи ключей из табл. 8.2 можно заставить Swatch просматривать любые файлы журналов, например, журналы безопасности или даже файлы журналов определенных приложений, такие как nessus.messages



Содержание раздела