Logwatch est un analyseur de journaux système et envoie ce rapport par courrier électronique. Il génère un rapport de journal résumé qui contient sshd – échecs d’authentification, sudo – sessions ouvertes, échecs vsftp, postfix, échecs de connexion, espace disque et plus encore.
Logwatch peut également imprimer le rapport sur la console. Ce rapport peut être programmé pour s’exécuter à une date et une heure spécifiques à l’aide de cron.
Dans ce tutoriel, nous apprenons à installer Logwatch au Ubuntu 20.04.
Installer Logwatch sur Ubuntu
Logwatch peut être installé simplement à partir du référentiel Ubuntu. Mettez d’abord le système à jour.
$ sudo apt-get update
Pour installer Logwatch, tapez :
$ apt-get install logwatch
Créez un répertoire temporaire pour que logwatch fonctionne :
$ sudo mkdir /var/cache/logwatch
Commande Logwatch
La commande Logwatch affiche le rapport sur la console.
$ logwatch
Vous pouvez également utiliser des options avec la commande Logwatch pour filtrer le rapport :
$ logwatch --detail high --range yesterday --service vsftpd --service postfix --service zz-disk_space --format text
Sortir:
################### Logwatch 7.5.2 (07/22/19) ####################
Processing Initiated: Sat Jul 10 11:13:03 2021
Date Range Processed: today
( 2021-Jul-10 )
Period is day.
Detail Level of Output: 10
Type of Output/Format: stdout / text
Logfiles for Host: li673-49
##################################################################
--------------------- Postfix Begin ------------------------
Summary ***
62.872K Bytes accepted 64,381
62.872K Bytes delivered 64,381
======== ==================================================
1 Accepted 100.00%
-------- --------------------------------------------------
1 Total 100.00%
======== ==================================================
1 Removed from queue 1 1 Delivered 1
Detail (1)
1 Delivered ------------------------------------------------------------------------------- 1 node49.server.com
=== Delivery Delays Percentiles ============================================================
0% 25% 50% 75% 90% 95% 98% 100%
Before qmgr 56.00 56.00 56.00 56.00 56.00 56.00 56.00 56.00
In qmgr 0.01 0.01 0.01 0.01 0.01 0.01 0.01 0.01
Conn setup 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Transmission 0.00 0.00 0.00 0.00 0.00 0.00 0.00 0.00
Total 56.00 56.00 56.00 56.00 56.00 56.00 56.00 56.00
============================================================================================
---------------------- Postfix End -------------------------
--------------------- vsftpd-messages Begin ------------------------
Failed FTP Logins:
(::ffff:66.249.64.177): anonymous - 2 Time(s)
(::ffff:66.249.64.179): anonymous - 1 Time(s)
---------------------- vsftpd-messages End -------------------------
--------------------- Disk Space Begin ------------------------
Filesystem Size Used Avail Use% Mounted on
/dev/sda 157G 16G 134G 11% /
/dev/loop0 56M 56M 0 100% /snap/core18/2066
/dev/loop1 56M 56M 0 100% /snap/core18/2074
/dev/loop2 70M 70M 0 100% /snap/lxd/19188
/dev/loop3 33M 33M 0 100% /snap/snapd/12159
/dev/loop4 68M 68M 0 100% /snap/lxd/20326
/dev/loop5 33M 33M 0 100% /snap/snapd/12398
---------------------- Disk Space End -------------------------
###################### Logwatch End #########################
Personnaliser Logwatch
Le fichier de configuration de Logwatch est stocké dans /usr/share/logwatch/default.conf/logwatch.conf. Pour faciliter l’édition, copiez logwatch.conf dans /etc/logwatch/conf/.
$ sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/
Les personnalisations de base sont :
Output = file|mail|stdout MailTo = [email protected] MailFrom = [email protected] Detail = Low, Med, High, ou un nombre Service = All Service = service-name Range = Hier|Aujourd’hui|Tous Format = texte |html
Sortir – Définir où envoyer le rapport logwatch
Courrier à – Spécifiez l’adresse e-mail pour envoyer le rapport. Pour plusieurs destinataires, utilisez des adresses e-mail séparées par un espace.
Détail – Ceci définit la verbosité du rapport.
Un service – Spécifie un ou plusieurs services à analyser par logwatch. Tous les services sont répertoriés sous /usr/share/logwatch/scripts/services. Pour sélectionner un service spécifique, commentez Service = All et utilisez Service = service-name.
Varier – Définir la durée du rapport.
Format – Le rapport peut être au format texte ou html.
Programmer Logwatch
En utilisant cron, vous pouvez programmer l’exécution de logwatch à une heure et une date spécifiques.
Ouvrez le fichier crontab :
# crontab -e
Ajoutez la tâche cron suivante pour programmer l’exécution de la surveillance de journal tous les jours à 8 h 00 :
0 8 * * * /sbin/logwatch
Conclusion
Dans ce didacticiel, nous avons appris à installer Logwatch sur Ubuntu 20.04. Pour plus d’informations, consultez man logwatch.
