| BSD家族大观--1.FreeBSD | | 发布日期:2005-3-28 浏览:438次 | | 关键字: | Swatch-simplewatcher
◎安装
更新相关档案(cvsup)
/usr/ports/security/swatch#makeinstall
/usr/ports/security/swatch#makeclean
◎语法
swatch
[--config-filefile][--restart-timetime]
[--input-record-separatorregex]
[[--examinefile_to_examine]|[--read-pipeprogram_to_pipe_from]|[--tailfile_to_tail]]
[--daemon]
◎swatch叙述:
Swatch是被设计用来监视系统动作的程式。
为了要让Swatch能够更加的强大,他需要一个用以比对的设定档。
◎命令列的参数:
--config-file=filenameor-cfilename
此参数告诉swatch到哪里去寻找他的设定档案。
预设值是放在${HOME}/.swatchrc。
--help
显示使用说明。
--input-record-separator=regular_expression
此参数告诉swatch使用规则表示式来描绘每笔记录的边界。
预设值是return。
--restart-time=[ ]hh:mm[am|pm]or-r[ ]hh:mm[am|pm]
在特定的时间之後重新启动,hh代表小时,mm代表分钟。
若am/pm被省略,则使用24小时制。
若时间前加有" "这个符号,则代表从新启动时间为,
从目前时间再加上特定时间,此时am/pm会被忽略。.
--script-dir=/path/to/directory
这个参数将产生的暂存script档案存放到特定的资料夹,
而不是使用者的家目录之下。
强烈建议,您不要使用别的使用者也有权限写入的资料夹,
举例来说/tmp。
--versionor-V
显示版本资讯。
以下的参数,不能并存,只能选择其一执行。
--tail-file=filenameor-tfilename
当他们被附加到某一档案时,以行为单位检视文字档案。
--read-pipe=commandor-pcommand
从命令检视输入。
--examine=filenameor-ffilename
将filename视为检视档案来检视。swatch将会进行一个个别检视经由这个档案。
以下的参数纯粹用於除错过程,但是为了完整性仍将其列出。
--dump-script[=filename]
当watcherscript产生时,不执行之反而将其写入到一个档案或者到标准输出。
若swatch在无参数状态执行,如同加入下列参数执行。
swatch--config-file=~/.swatchrc--tail-
file=/var/log/syslog
若/var/log/messages存在,则
swatch--config-file=~/.swatchrc--tail-
file=/var/log/messages
若设定档不存在,以下的设定则被使用。
watchfor/.*/
echomodes=random
搜寻比对档案中所有以.*开头的行
并且用随机模式显示色彩型态。
◎设定档说明:
这个设定档由swatch(8)程式去界定什麽型态的表达样式需要被搜寻比对。
每一行需包含一个关键字及一个关键字的值(有时是选择性的)。
关键字及其值,以一个空白键或等号"="分隔。
watchforregex
ignoreregex
echo[modes]
以何种颜色显示符合的行。
这些模式能在xterm上显示,其中Normal(正常字)是预设值。
可用的值:
normal(正常字),bold(粗体),underscore(底线),blink(闪烁),inverse(倒反),
black(黑),red(红),green(绿),yellow(黄),blue(蓝),magenta(品红),
cyan(青绿),white(白),black_h,red_h,green_h,yellow_h,
blue_h,magenta_h,cyan_h,white_h.
_h表示高亮度色彩。
bell[N]
显示符合的行,并且送出N次的响声。(预设值为1次)
execcommand
执行某命令。这个命令可能包含变因(取代符合的行)。
$N将会取代在符合行中的第N个field。
$0或$*将会完全取代符合行。
mail[addresses=address:address:...][,subject=your_text_here]
当内容符合时,送出邮件给这些邮件位置的人。
预设的邮件收件人为执行此程式的使用者。
pipecommand[,keep_open]
将符合内容导为命令,使用keep_open参数来强制执行,
直到另一个导管被执行或swatch结束。
write[user:user:...]
将符合内容以write方式来通知使用者。
throttlehours:minutes:seconds,[use=message|regex]
使用这个参数来限制产生符合样式的次数。
use=regex参数造成throttling以规则表示式为基础,而不是message
(预设值为use=message)
continue
使用这个参数会让swatch在完成目前比对之後,
继续尝试去比对其他样式。
quit
使用这个参数会使swatch立刻清除并结束。
◎特别参数
此参数可以用在上面任何一个参数。
when=day_of_week:hour_of_day
此参数定义,视窗的时间及日期,此时动作被执行。
举例说明:
mail=sysad-pager@somehost.somedomain,when=1-6:8-17
◎设定档举例:
watchfor/filesystemfull/
echo
bell
throttle01:00
这个例子是一行包含"filesystemfull"的字串,将会被显示及萤幕发出声响,
多样的(合的)讯息例子将不会被显示,
若他们出现时间与第一次出现时刻相距在一分钟之内。
此参数可以避免有心人士利用swatch进行攻击...
◎说明:虽然每个swatchrc只能记录一个日档,但您可以同时执行多个swatch...
swatch-c.swatchrc.01
swatch-c.swatchrc.02
◎执行状况:
1.以纯粹的swatch命令
$swatch
产生结果如下...最後我用ctrl c中断您也可以用&背景执行。
其中用紫色涂起来的表示个人帐号与swatch无关故省略
很明显可以看到因为我没有设定任何设定档
所以他也读不到,所以swatch用预设状态执行...
然後他会显示预设的设定值(前面有说明在此省略)
然後显示swatch的启动时间...
等待一阵子之後..有一个使用者登入成功用高亮度色彩记录下来了...
目的达到所以中断之..。
当然失败的也会被纪录...
你一定觉得这个讯息没有什麽用处吧..?
别懒了...修改一下设定档..
举例说明:
watchfor/failed|reject/
echoyellow_h
换成您想要的关键字至於改成什麽?看个人功力....
什麽样的程度是你所关心的系统报告...自行取..
◎作者:
E.ToddAtkins
Todd.Atkins@StanfordAlumni.ORG
◎相关资源:
官方FTP位置:
ftp://ftp.stanford.edu/general/security-tools/swatch
最新版本可以在下面获得
http://www.oit.ucsb.edu/~eta/swatch/latest.tar
官方网页位置:
http://www.stanford.edu/~atkins/swatch
http://www.oit.ucsb.edu/~eta/swatch
| | 关键字: |
|
