パソコン鳥のブログ

アクセスカウンタ

zoom RSS ログ分析してレポートするツール logwatch

<<   作成日時 : 2013/10/15 21:51   >>

トラックバック 1 / コメント 1

ログ分析ツール Logwatch の紹介です。
Linuxサーバを管理していると、毎日ログをチェックするのは大変です。
しかしチェックを怠ると、サーバに問題が発生していても見逃すことになるので、手を抜くことも出来ません。
そこで、ログを見やすい形式にしてメールでレポートしてくれる logwatch がログチェックの助けになります。

logwatch を導入後、logwatchがログを分析して、下記のようなレポートを毎日メールしてきます。
以下の例では、sshへの接続で認証に失敗した接続元、ユーザ、回数がレポートされています。
また postfix でのメール送信の接続数、送信成功した割合がレポートされています。
logwatchにより、sshやpostfixのログがこのように分かりやすくレポートされます。



--------------------- pam_unix Begin ------------------------ 

 sshd:
    Authentication Failures:
       root (xxx.xxx.xxx.xxx): 4 Time(s)
       root (xxx.xxx.xxx.xxx): 2 Time(s)
 
 ---------------------- pam_unix End ------------------------- 


 
 --------------------- Postfix Begin ------------------------ 

  389.806K  Bytes accepted                             399,161
  729.421K  Bytes sent via SMTP                        746,927
  384.323K  Bytes delivered                            393,547
 ========   ==================================================
 
       65   Accepted                                   100.00%
 --------   --------------------------------------------------
       65   Total                                      100.00%
 ========   ==================================================
 
      208   Connections             
      208   Disconnections          
      112   Removed from queue      
       75   Delivered               
      235   Sent via SMTP           

 
 ---------------------- Postfix End ------------------------- 


CentOS6でのインストールは以下で行います。root で作業してください。


yum install logwatch


yumでインストールした logwatch はログ解析用スクリプトが古いので、新しいものを入手して更新します。

まず以下の logwatch のページから logwatch をダウンロードします。2013年10月15日時点での最新版は logwatch-7.4.0.tar.gz です。

Logwatch | Free System Administration software downloads at SourceForge.net

次の手順で解凍し、ログ解析用スクリプトをコピーして更新します。

tar zxvf logwatch-7.4.0.tar.gz
cd logwatch-7.4.0
chmod -x scripts/services/*
cp scripts/services/* /etc/logwatch/scripts/services/


以上でインストールは完了です。


設定は /etc/logwatch/conf/logwatch.conf を編集して行います。
デフォルトの設定が /usr/share/logwatch/default.conf/logwatch.conf にあり、デフォルトから変更する設定を /etc/logwatch/conf/logwatch.conf に記述します。

MailTo でログ分析レポートを送付するメールアドレスを指定します。
レポート不要なサービスは Service = -サービス名 のように、サービス名の先頭に - を付けます。

/etc/logwatch/conf/logwatch.conf

MailTo = xxxxxxx
Service = All
Service = -Dovecot
Service = -zz-disk_space


設定を確認するには、以下コマンドを実行してください。
メール送付と同じ内容が、画面に表示されます。


logwatch --print


参考


Logwatch | Free System Administration software downloads at SourceForge.net
ClamavのUnmatched Entriesについて
ログ監視ツール logwatch のインストールと設定 〜 CentOS6 | EasyRamble

テーマ

関連テーマ 一覧


月別リンク

トラックバック(1件)

タイトル (本文) ブログ名/日時
ログ監視ツール logmon (修正パッチつき)
Linuxのログ監視ツールに logmon というIBM製の監視ツールがあります。 ログファイルをリアルタイムに監視し、指定した文字列がログに出力されると、指定したコマンドを実行します。 例えば、ログで ssh のパスワード入力エラーが出力されると、不正侵入としてすぐにメール送信して通知する、といったことが出来ます。 ...続きを見る
パソコン鳥のブログ
2014/02/03 23:38

トラックバック用URL help


自分のブログにトラックバック記事作成(会員用) help

タイトル
本 文

コメント(1件)

内 容 ニックネーム/日時
成る程
ソラ
2013/10/18 09:44

コメントする help

ニックネーム
本 文
ログ分析してレポートするツール logwatch  パソコン鳥のブログ/BIGLOBEウェブリブログ
文字サイズ:       閉じる