# посылать все протоколы swatch

  log {

    source(src);

    destination(swatch);

   };

Чтобы запускать swatch от имени пользователя syslog:

destination swatch {

    program("su syslog -c '/usr/bin/swatch --read- ї pipe="cat /dev/fd/0"'");

  };

Как видно из примера, swatch легко интегрировать в нашу уже работающую систему протоколирования.

Резюме

Как бы не была хороша и безопасна представленная система протоколирования, она не поможет вам ровно ничем в предотвращении вторжений/утечек информации без перманентного слежения за ее работой и обрабатываемыми ею протоколами. Нельзя забывать, что протоколирование – лишь средство экстренного оповещения, а не панацея от всех бед. Главная же задача администратора безопасности – это не допустить компрометирования системы как таковой. Нужно следить за появлением уязвимостей во всех функционирующих на серверах сервисов, выходом заплаток и обновлений. Нужно тщательно продумывать политику как внешней, так и локальной безопасности. Даже если в системе нет валидных пользовательских учетных записей, необходимо предусмотреть возможность получения прав в системе путем компрометирования одного из внешних сервисов. Также в среде информационной безопасности известно множество способов обеспечения как повышенного уровня безопасности систем, так и способов облегчения задачи их администрирования. Например, у вас есть два сервиса: web и ftp. Соответственно, вам постоянно приходится следить за обновлениями обоих продуктов. Однако многие не знают, что эти оба сервиса можно скрыть от Интернета и сделать доступными через прокси-сервер, например, squid, который будет как защищать сервисы, так и ускорять их работу. Таким образом, вам придется следить за обновлениями только одного продукта вместо двух. Что касается локальной безопасности, существует множество серьезных решений, которые защищают систему от вторжения изнутри. Защищают нужные вам процессы, программы и данные. Для платформы Linux подойдут такие решения, как gresecurity (www.grsecurity.net), lids (www.lids.org) и т. д. В BSD-системах используются реализации jailed-/chrooted-окружений, а также многочисленные встроенные функции системы, ориентированные на безопасность. Причем эти решения, порой, настолько развиты, что могут защищать систему не только от внутренних, но и от внешних вторжений. Gresecurity, например, может на лету блокировать посылаемые сервисам shell-codes в результате переполнений буфера или других атак. Если вы только начинаете заниматься безопасностью вашей уже функционирующей в Интернете системы, можно воспользоваться дополнительными средствами аудита, такими как сканеры сетевой безопасности. Результаты сканирования позволят вам сделать вывод об общем состоянии вашего сервера, критических уязвимостях сервисов и стабильности работы системы в целом. В любом случае надо помнить, что с совершенствованием технологий защиты, совершенствуются и автоматизируются технологии нападения. Таким образом, люди, которые, порой, в своих знаниях недалеко ушли от рядовых пользователей, могут нанести существенный урон критически важным данным серьезных компаний, воспользовавшись кем-то написанными и опубликованными средствами атаки.