Voor de meeste logs wordt er automatisch een logrotate opgezet. If not kunt ge dat best zelf doen. Uw /var maakt ge best ook een aparte partitie, zeker een must op servers, zodat de boel niet vast loopt als de partitie vol is.
Wij gaan enkel logs bekijken als er een probleem is. Als ge een paar tiental bakken staan hebt dan is da nie doenbaar, zelfs nie voor de logwatch die via mail naar de root gaat.
Bijhouden doen we ook niet langer dan de standaard termijn. In feite heeft een lange termijn alleen nut als je gehacked wordt en de hacker kan dat een zekere tijd verborgen houden. Stel dat ge gehacked wordt dan is dat 9/10 ene die gewoon uw resources wilt misbruiken. Das nie persoonlijk en die gaat ook niks aan uw data veranderen, want anders wordt hij veel te rap gepakt. En let's be honest, als het enkel dat is gaat een bedrijf meestal ook geen klacht indienen bij de politie. En dat gaat zeker al geen jaar duren eer je door hebt dat er iets mis is he.
Voor waarschuwingen, zoals een te hoge load, onverwacht hoge trafiek, partities die vol lopen, een bepaalde service die gestopt is,... kunt ge tools gebruiken zoals Cacti, Nagios,... die via snmp een aantal waarden uitlezen.
dJeez zei:
gebruik ik denyhosts om SSH login pogingen te blokkeren - op paranoïde wijze, maar da's doorgaans de beste methode

).
Zet uwe sshd gewoon op een andere poort en ge gaat geen enkele poging meer zien toekomen
