La aproximación de logcheck es la de un sistema de detección de intrusos que hace las veces de uno de los mas arduos trabajos del administrador de sistema : el revisar constantemente los ficheros de log2 para detectar alguna anomalía.
Logcheck es lanzado por el cron 3 cada cierto tiempo y mediante comparaciones, trata los datos almacenados en los logs contra una serie de reglas ( expresadas en términos de expresiones regulares ).
Estas reglas presentan patrones definidos que aparecen en los logs de la máquina cuando estas están bajo algún intento de forzamiento de de modo que busca en los registros patrones parecidos.
Un ejemplo de regla de logcheck:
login.*: .*LOGIN FAILURE.* FROM .*root
En este caso, la regla coincide con todas aquellas líneas donde el subsistema login tenga un fallo cualquiera al intentar hacer login como superusuario.
Este sistema de detección de intrusos, en las categorías dadas anteriormente, a caballo entre las que están basados en el host y las basadas en la aplicación. Esto es debido a que el chequeo que se realiza, se hace sobre los ficheros de log del sistema ( por tanto podría ser basada en host ), pero sin embargo es la aplicación de log ( syslog ) quien proporciona los datos.
Logcheck es una herramienta muy flexible y extremadamente configurable, sin embargo es necesario tener buena mano en su configuración sino las alertas tienden a ser elevadisimas.