◎安装 更新相关档案(cvsup) /usr/ports/security/swatch # make install /usr/ports/security/swatch # make clean ◎语法 swatch [ --config-file file ] [ --restart-time time ] [--input-record-separator regex ] [ [ --examine file_to_examine ] | [ --read-pipe PRogram_to_pipe_from ] | [ --tail file_to_tail ] ] [ --daemon ] ◎swatch叙述: Swatch是被设计用来监视系统动作的程式。 为了要让Swatch能够更加的强大,他需要一个用以比对的设定档。 ◎命令列的参数: --config-file=filename or -c filename 此参数告诉swatch到哪里去寻找他的设定档案。 预设值是放在${HOME}/.swatchrc 。 --help 显示使用说明。 --input-record-separator=regular_expression 此参数告诉swatch使用规则表示式来描绘每笔记录的边界。 预设值是return。 --restart-time=[+]hh:mm[am|pm] or -r [+]hh:mm[am|pm] 在特定的时间之後重新启动,hh代表小时,mm代表分钟。 若am/pm被省略,则使用24小时制。 若时间前加有"+"这个符号,则代表从新启动时间为, 从目前时间再加上特定时间,此时am/pm会被忽略。. --script-dir=/path/to/directory 这个参数将产生的暂存script档案存放到特定的资料夹, 而不是使用者的家目录之下。 强烈建议,您不要使用别的使用者也有权限写入的资料夹, 举例来说/tmp。 --version or -V 显示版本资讯。 以下的参数,不能并存,只能选择其一执行。 --tail-file=filename or -t filename 当他们被附加到某一档案时,以行为单位检视文字档案。 --read-pipe=command or -p command 从命令检视输入。 --examine=filename or -f filename 将filename视为检视档案来检视。swatch将会进行一个个别检视经由这个档案。 以下的参数纯粹用於除错过程,但是为了完整性仍将其列出。 --dump-script[=filename] 当watcher script产生时,不执行之反而将其写入到一个档案或者到标准输出。 若swatch在无参数状态执行,如同加入下列参数执行。 swatch --config-file=~/.swatchrc --tail- file=/var/log/syslog 若 /var/log/messages 存在,则 swatch --config-file=~/.swatchrc --tail- file=/var/log/messages 若设定档不存在,以下的设定则被使用。 watchfor /.*/ echo modes=random 搜寻比对档案中所有以.*开头的行 并且用随机模式显示色彩型态。 ◎设定档说明: 这个设定档由swatch(8)程式去界定什麽型态的表达样式需要被搜寻比对。 每一行需包含一个关键字及一个关键字的值(有时是选择性的)。 关键字及其值,以一个空白键或等号"="分隔。 watchfor regex ignore regex echo [modes] 以何种颜色显示符合的行。 这些模式能在xterm上显示,其中Normal(正常字)是预设值。 可用的值: normal(正常字),bold(粗体), underscore(底线), blink(闪烁), inverse(倒反), black(黑), red(红), green(绿),yellow(黄), blue(蓝), magenta(品红), cyan(青绿), white(白), black_h, red_h,green_h, yellow_h, blue_h, magenta_h, cyan_h,white_h. _h表示高亮度色彩。 bell [N] 显示符合的行,并且送出N次的响声。(预设值为1次) exec command 执行某命令。这个命令可能包含变因(取代符合的行)。 $N 将会取代在符合行中的第N个field。 $0 或 $* 将会完全取代符合行。 mail [addresses=address:address:...][,subject=your_text_here] 当内容符合时,送出邮件给这些邮件位置的人。 预设的邮件收件人为执行此程式的使用者。 pipe command[,keep_open] 将符合内容导为命令,使用keep_open参数来强制执行, 直到另一个导管被执行或swatch结束。 write [user:user:...] 将符合内容以write方式来通知使用者。 throttle hours:minutes:seconds,[use=message|regex] 使用这个参数来限制产生符合样式的次数。 use=regex参数造成throttling以规则表示式为基础,而不是message (预设值为use=message) continue 使用这个参数会让swatch在完成目前比对之後, 继续尝试去比对其他样式。 quit 使用这个参数会使swatch立刻清除并结束。 ◎特别参数 此参数可以用在上面任何一个参数。 when=day_of_week:hour_of_day 此参数定义,视窗的时间及日期,此时动作被执行。 举例说明: mail=sysad-pager@somehost.somedomain,when=1-6:8-17 ◎设定档举例: watchfor /file system full/ echo bell throttle 01:00 这个例子是一行包含"file system full"的字串,将会被显示及萤幕发出声响, 多样的(合的)讯息例子将不会被显示, 若他们出现时间与第一次出现时刻相距在一分钟之内。 此参数可以避免有心人士利用swatch进行攻击... ◎说明:虽然每个swatchrc只能记录一个日档,但您可以同时执行多个swatch ... swatch -c .swatchrc.01 swatch -c .swatchrc.02 ◎执行状况: 1.以纯粹的swatch命令 $swatch 产生结果如下...最後我用ctrl+c中断 您也可以用&背景执行。 其中用紫色涂起来的表示个人帐号与swatch无关故省略 很明显可以看到因为我没有设定任何设定档 所以他也读不到,所以swatch用预设状态执行... 然後他会显示预设的设定值(前面有说明在此省略) 然後显示swatch的启动时间... 等待一阵子之後..有一个使用者登入成功用高亮度色彩记录下来了... 目的达到所以中断之..。 当然失败的也会被纪录... 你一定觉得这个讯息没有什麽用处吧..? 别懒了...修改一下设定档.. 举例说明: watchfor /failed|reject/ echo yellow_h 换成您想要的关键字 至於改成什麽?看个人功力.... 什麽样的程度是你所关心的系统报告...自行取.. ◎作者: E. Todd Atkins Todd.Atkins@StanfordAlumni.ORG ◎相关资源: 官方FTP位置: ftp://ftp.stanford.edu/general/security-tools/swatch 最新版本可以在下面获得 http://www.oit.ucsb.edu/~eta/swatch/latest.tar 官方网页位置: http://www.stanford.edu/~atkins/swatch http://www.oit.ucsb.edu/~eta/swatch |
Powered by Discuz! X3.4
Copyright © 2001-2021, Tencent Cloud.
