Logwatch installieren

Das Open Source Tool logwatch erstellt einen kurzen, übersichtlichen Check über die Logs eines Linux-basierten Servers.^[1] Es bietet eine gute und transparente Anlaufstelle und es ermöglicht, sich vorgefilterte Meldungen anzeigen zu lassen (z.B. Festplatte voll, fehlerhafte Anmeldungen an sicherheitsrelevanten Diensten oder um einfach nach dem Status der letzten installierten oder veränderten Pakete in der Paketverwaltung zu sehen).

Installation

Ausgabe von logwatch

logwatch ist in den gängigen Distributionen enthalten, die Installation erfolgt bequem über die integrierte Paketverwaltung.

• Unter Debian/Ubuntu mit: # apt-get install logwatch
• Bei CentOS und RHEL per: # yum install -y logwatch

Alternativ kann die aktuelle Version von der Projektseite bei Sourceforge heruntergeladen werden.

Das Tool ist nach der Installation einsatzbereit, es ist standardmäßig vorerst keine weitere Konfiguration erforderlich.

Verwendung

Logwatch übernimmt die Analyse der Logdateien, bereitet diese je nach angegebenen Detaillevel auf. Es kann ein zusammenfassender Report über die wichtigsten Ereignisse erstellt, als Text/HTML gespeichert und per Mail versandt werden. Nachfolgende Beispiele zeigen die Einsatzmöglichkeiten von logwatch auf.

Statusbericht (kurz) über die Logdateien des heutigen Tages

Dieser Aufruf erstellt einen Bericht über die Logdateien des heutigen Tages. Der Detailgrad ist niedrig und die Anzeige erfolgt in der Standardausgabe.

# logwatch --detail low --range today

Statusbericht (detailliert), html formatiert

Dieses Beispiel erstellt einen detaillierten Bericht des gestrigen Tages im html-Format und der Bericht wird in einer html-Datei abgespeichert.

# logwatch --detail high --range yesterday --format html --filename meindateiname.html

Statusbericht der letzten 14 Tage mit Mailversand

Ein detaillierter Bericht über die letzten 14 Tage im html-Format mit anschließendem Versand an eine angegebene E-Mail Adresse ist ebenso möglich.

# logwatch --detail high --range 'between 14 days ago and yesterday' --format html --mailto xxxxxxx@xxxx.xxx

Statusbericht spezifiziert auf einen Dienst im Textformat

Beispielausgabe eines detaillierten Statusberichts im Textformat.

# logwatch --service sshd --detail high --range 7 days
 
 ################### Logwatch 7.4.2 (02/27/16) #################### 
        Processing Initiated: Wed Oct 11 20:16:10 2017
        Date Range Processed: 7
                              ( 2017-Oct-11 )
                              Period is day.
        Detail Level of Output: 10
        Type of Output/Format: stdout / text
        Logfiles for Host: dktp
 ################################################################## 
 
 --------------------- SSHD Begin ------------------------ 

 SSHD Killed: 2 Time(s)
 
 SSHD Started: 6 Time(s)
 
 Failed logins from:
    192.168.6.50: 10 times
       root/password: 7 times
       pandix/password: 3 times
 
 **Unmatched Entries**
 message repeated 2 times: [ Failed password for pandix from 192.168.6.50 port 32954 ssh2] : 1 time(s)
 
 ---------------------- SSHD End ------------------------- 

 
 ###################### Logwatch End ######################### 

Logwatch automatisieren

Über einen automatischen Eintrag in /etc/cron.daily wird logwatch täglich ausgeführt, es frägt laufende Dienste und verbundene Logdateien ab. Anschließend werden die Logdateien verarbeitet und ein Report an root versandt. Wenn das Tool zu einer bestimmten Zeit ausgeführt werden soll, kann das Skript 00logwatch aus dem Verzeichnis /etc/cron.daily entfernt werden. Dann wird logwatch mit einem zu erstellenden Eintrag in der crontab aufgerufen.

Konfiguration

Die zur Auswertung der Dienste befindlichen Scripte, befinden sich im Verzeichnis /usr/share/logwatch/scripts/services. Die Hauptkonfigurationsdatei logwatch.conf ist im Verzeichnis /usr/share/logwatch/default.conf/ abgelegt. In dieser Datei werden die Defaultwerte für die Kommandozeilenoptionen gesetzt.

Einzelnachweise

Autor: Wilfried Seifert Wilfried Seifert, tätig in der Abteilung Systems Engineering bei Thomas-Krenn, ist in seinem Arbeitsbereich für die System-/Prototypenentwicklung sowie Softwaredeployment / Rollout zuständig. LPIC 3 zertifiziert, beschäftigt sich u.a. mit Aufbau / Programmierung Embedded Systemen.