Logwatch installieren
Das Open Source Tool logwatch erstellt einen kurzen, übersichtlichen Check über die Logs eines Linux-basierten Servers.[1] Es bietet eine gute und transparente Anlaufstelle und es ermöglicht, sich vorgefilterte Meldungen anzeigen zu lassen (z.B. Festplatte voll, fehlerhafte Anmeldungen an sicherheitsrelevanten Diensten oder um einfach nach dem Status der letzten installierten oder veränderten Pakete in der Paketverwaltung zu sehen).
Installation
logwatch ist in den gängigen Distributionen enthalten, die Installation erfolgt bequem über die integrierte Paketverwaltung.
- Unter Debian/Ubuntu mit:
# apt-get install logwatch
- Bei CentOS und RHEL per:
# yum install -y logwatch
Alternativ kann die aktuelle Version von der Projektseite bei Sourceforge heruntergeladen werden.
Das Tool ist nach der Installation einsatzbereit, es ist standardmäßig vorerst keine weitere Konfiguration erforderlich.
Verwendung
Logwatch übernimmt die Analyse der Logdateien, bereitet diese je nach angegebenen Detaillevel auf. Es kann ein zusammenfassender Report über die wichtigsten Ereignisse erstellt, als Text/HTML gespeichert und per Mail versandt werden. Nachfolgende Beispiele zeigen die Einsatzmöglichkeiten von logwatch auf.
Statusbericht (kurz) über die Logdateien des heutigen Tages
Dieser Aufruf erstellt einen Bericht über die Logdateien des heutigen Tages. Der Detailgrad ist niedrig und die Anzeige erfolgt in der Standardausgabe.
# logwatch --detail low --range today
Statusbericht (detailliert), html formatiert
Dieses Beispiel erstellt einen detaillierten Bericht des gestrigen Tages im html-Format und der Bericht wird in einer html-Datei abgespeichert.
# logwatch --detail high --range yesterday --format html --filename meindateiname.html
Statusbericht der letzten 14 Tage mit Mailversand
Ein detaillierter Bericht über die letzten 14 Tage im html-Format mit anschließendem Versand an eine angegebene E-Mail Adresse ist ebenso möglich.
# logwatch --detail high --range 'between 14 days ago and yesterday' --format html --mailto xxxxxxx@xxxx.xxx
Statusbericht spezifiziert auf einen Dienst im Textformat
Beispielausgabe eines detaillierten Statusberichts im Textformat.
# logwatch --service sshd --detail high --range 7 days ################### Logwatch 7.4.2 (02/27/16) #################### Processing Initiated: Wed Oct 11 20:16:10 2017 Date Range Processed: 7 ( 2017-Oct-11 ) Period is day. Detail Level of Output: 10 Type of Output/Format: stdout / text Logfiles for Host: dktp ################################################################## --------------------- SSHD Begin ------------------------ SSHD Killed: 2 Time(s) SSHD Started: 6 Time(s) Failed logins from: 192.168.6.50: 10 times root/password: 7 times pandix/password: 3 times **Unmatched Entries** message repeated 2 times: [ Failed password for pandix from 192.168.6.50 port 32954 ssh2] : 1 time(s) ---------------------- SSHD End ------------------------- ###################### Logwatch End #########################
Logwatch automatisieren
Über einen automatischen Eintrag in /etc/cron.daily wird logwatch täglich ausgeführt, es frägt laufende Dienste und verbundene Logdateien ab. Anschließend werden die Logdateien verarbeitet und ein Report an root versandt. Wenn das Tool zu einer bestimmten Zeit ausgeführt werden soll, kann das Skript 00logwatch aus dem Verzeichnis /etc/cron.daily entfernt werden. Dann wird logwatch mit einem zu erstellenden Eintrag in der crontab aufgerufen.
Konfiguration
Die zur Auswertung der Dienste befindlichen Scripte, befinden sich im Verzeichnis /usr/share/logwatch/scripts/services. Die Hauptkonfigurationsdatei logwatch.conf ist im Verzeichnis /usr/share/logwatch/default.conf/ abgelegt. In dieser Datei werden die Defaultwerte für die Kommandozeilenoptionen gesetzt.
Einzelnachweise
Autor: Wilfried Seifert Wilfried Seifert, tätig in der Abteilung Systems Engineering bei Thomas-Krenn, ist in seinem Arbeitsbereich für die System-/Prototypenentwicklung sowie Softwaredeployment / Rollout zuständig. LPIC 3 zertifiziert, beschäftigt sich u.a. mit Aufbau / Programmierung Embedded Systemen.
|