Analisi log per sicurezza
1. Log SSH
# Tentativi di accesso falliti
grep "Failed password" /var/log/auth.log | tail -20
# Accessi riusciti
grep "Accepted" /var/log/auth.log | tail -20
# IP che tentano accesso
grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -rn | head2. Log Apache
# Errori 4xx/5xx
awk '$9 ~ /^[45]/ {print $1, $9, $7}' /var/log/apache2/access.log | sort | uniq -c | sort -rn | head
# Scanner e bot
grep -E "nikto|sqlmap|nmap|masscan" /var/log/apache2/access.log
# Tentativi di accesso a file sensibili
grep -E "\.(env|bak|sql|git)" /var/log/apache2/access.log3. Log sistema
# Ultimi login
last -20
# Login falliti
lastb -20
# Utenti attualmente connessi
w
# Processi sospetti
ps aux --sort=-%mem | head -204. Automazione con logwatch
apt install -y logwatch
logwatch --detail high --mailto admin@dominio.it --range yesterday5. Centralizzazione con rsyslog
# Invia log a server centralizzato
echo "*.* @192.168.1.53:514" >> /etc/rsyslog.conf
systemctl restart rsyslogRisultato: Capacità di rilevare intrusioni e anomalie dall’analisi sistematica dei log.