Ga naar inhoud

🛡️ Hoofdstuk 19: Log & Intrusion Monitoring

In dit hoofdstuk leer je hoe je logs kunt analyseren en hoe je je systeem kunt monitoren op inbraakpogingen en verdachte activiteiten.
We behandelen de belangrijkste tools, inclusief installatie, gebruik, voorbeelden, en sterke/zwakke punten.

🔹 journalctl

journalctl is de standaardtool voor het bekijken van systemd-logs.

📥 Installatie / Update / Verwijderen

# Meestal al aanwezig als onderdeel van systemd
sudo apt install systemd
sudo apt update && sudo apt upgrade systemd
sudo apt remove systemd
which journalctl
journalctl --version

▶️ Gebruik

# Bekijk alle logs
journalctl

# Laatste logs real-time
journalctl -f

# Logs van een specifieke service
journalctl -u ssh.service

# Logs van vandaag
journalctl --since today

📊 Voorbeeldoutput

Aug 22 12:55:10 myhost sshd[1234]: Accepted password for user from 192.168.1.10 port 55432 ssh2
Aug 22 12:55:15 myhost systemd[1]: Started Session 42 of user user.
Aug 22 12:56:01 myhost CRON[5678]: pam_unix(cron:session): session opened for user root

Uitleg

  • Accepted password: succesvolle login.
  • systemd Session: nieuwe gebruikerssessie.
  • CRON: geplande taak gestart.

Sterke punten

  • Centrale logweergave.
  • Filteren op service, tijd en gebruiker.
  • Real-time monitoring met -f.

Zwakke punten

  • Alleen voor systemd-systemen.
  • Kan overweldigend zijn zonder filters.

🔹 rsyslog

rsyslog is een krachtige logdaemon die syslog-berichten verzamelt en kan forwarden.

📥 Installatie / Update / Verwijderen

sudo apt install rsyslog
sudo apt update && sudo apt upgrade rsyslog
sudo apt remove rsyslog
which rsyslogd
rsyslogd -v

▶️ Gebruik

# Logs staan meestal in /var/log/syslog
tail -f /var/log/syslog

# Configuratiebestand aanpassen
sudo nano /etc/rsyslog.conf

📊 Voorbeeldoutput (/var/log/syslog)

Aug 22 13:05:22 myhost kernel: [12345.678] eth0: Link is Up - 1Gbps Full Duplex
Aug 22 13:05:25 myhost sshd[4321]: Failed password for root from 203.0.113.45 port 51234 ssh2

Uitleg

  • Link is Up: netwerkinterface actief.
  • Failed password: mislukte SSH loginpoging.

Sterke punten

  • Universele syslogondersteuning.
  • Kan logs centraliseren (remote logging).

Zwakke punten

  • Configuratie kan complex zijn.
  • Minder gebruiksvriendelijk dan journalctl.

🔹 logwatch

logwatch genereert overzichtsrapporten van systeemlogs, handig voor dagelijkse monitoring.

📥 Installatie / Update / Verwijderen

sudo apt install logwatch
sudo apt update && sudo apt upgrade logwatch
sudo apt remove logwatch
which logwatch
logwatch --version

▶️ Gebruik

sudo logwatch --detail high --range today --service sshd --mailto admin@example.com

📊 Voorbeeldoutput

 --------------------- SSHD Begin ------------------------

 Failed logins:
    root (203.0.113.45): 5 times
    admin (198.51.100.23): 2 times

 Successful logins:
    user (192.168.1.10): 1 times

 ---------------------- SSHD End -------------------------

Uitleg

  • Failed logins: brute force aanvallen zichtbaar.
  • Successful logins: legitieme loginpogingen.

Sterke punten

  • Automatische rapporten via mail.
  • Handig voor dagelijks overzicht.

Zwakke punten

  • Minder geschikt voor real-time monitoring.

🔹 fail2ban

fail2ban blokkeert IP-adressen na mislukte inlogpogingen om brute force-aanvallen te voorkomen.

📥 Installatie / Update / Verwijderen

sudo apt install fail2ban
sudo apt update && sudo apt upgrade fail2ban
sudo apt remove fail2ban
which fail2ban-server
fail2ban-server -V

▶️ Gebruik

# Status van jail
sudo fail2ban-client status sshd

# Start/stop
sudo systemctl start fail2ban
sudo systemctl status fail2ban

📊 Voorbeeldoutput

Status for the jail: sshd
|- Filter
|  |- Currently failed: 3
|  `- Total failed: 15
`- Actions
   |- Currently banned: 1
   |  `- IP list: 203.0.113.45
   `- Total banned: 5

Uitleg

  • Currently failed: huidige mislukte pogingen.
  • Currently banned: IP's die nu geblokkeerd zijn.

Sterke punten

  • Beschermt actief tegen brute force.
  • Aanpasbare regels per service (SSH, Apache, etc.).

Zwakke punten

  • Kan per ongeluk legitieme IP’s blokkeren.
  • Alleen effectief tegen herhaalde pogingen, niet geavanceerde aanvallen.

🔹 ossec / wazuh

OSSEC/Wazuh zijn Host-based Intrusion Detection Systems (HIDS). Ze detecteren verdachte activiteiten en sturen alerts.

📥 Installatie / Update / Verwijderen

# OSSEC (basis)
wget -q -O - https://updates.atomicorp.com/installers/atomic | sudo bash
sudo apt install ossec-hids

# Wazuh (modernere fork)
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | sudo apt-key add -

▶️ Gebruik

sudo systemctl start wazuh-manager
sudo systemctl status wazuh-manager

📊 Voorbeeldoutput

** Alert 1661185201.12345: - syslog,authentication_failed
2025 Aug 22 14:20:01 (myhost) 10.0.0.1->/var/log/auth.log
Rule: 5715 (level 10) -> "sshd: authentication failed."
Src IP: 203.0.113.45
User: root

Uitleg

  • Rule: welke regel triggerde het alarm.
  • Src IP: bron van aanval.
  • Level 10: hoge dreiging.

Sterke punten

  • Zeer krachtig IDS/IPS.
  • Integreert met SIEM-systemen.

Zwakke punten

  • Complex om te configureren.
  • Zwaarder in gebruik dan simpele logtools.