Monitorare i log di sistema con Logwatch

Da Guide@Debianizzati.Org.
Jump to navigation Jump to search
Debian-swirl.png Versioni Compatibili
Debian 9 "Stretch"
Verificala con Buster

Introduzione

Il pacchetto logwatch contiene uno script in perl che ogni giorno raccoglie gli eventi dei log e li invia all'utente root del sistema (o all'utente specificato in /etc/aliases).

Installazione

# apt-get install logwatch

Configurazione

Il file di configurazione di logwatch è /usr/share/logwatch/default.conf/logwatch.conf:

# nano /usr/share/logwatch/default.conf/logwatch.conf

Il file di configurazione generale è piuttosto chiaro e prevede alcune opzioni interessanti, che possono essere sovrascritte dalla riga di comando. Seguono le impostazioni di default, che vanno bene in molti casi:

  • LogDir = /var/log Directory di default dove risiedono i log
  • MailTo = root A chi vengono inviate le mail di logwatch, può essere un utente locale o un normale indirizzo email
  • Print = No Se settato a Yes, l'output di logwatch viene visualizzato a schermo invece di essere inviato via mail
  • # Save = /tmp/logwatch Se impostato, l'output viene salvato sul file indicato invece di essere inviato via mail
  • # Archives = Yes Specifica se cercare anche nei file di log archiviati (anche gzippati) come /var/log/messages.1 o /var/log/messages.1.gz
  • Range = yesterday Indica su quale periodo fare l'analisi dei log: "All" analizza tutti i log (in questo caso si consiglia di impostare "Archives = Yes", "Yesterday" si riferisce ai log del giorno prima (utile quando si crontabba un'esecuzione notturna), "Today" si riferisce alle righe di log relative al giorno corrente.
  • Detail = Low Livello di dettaglio dei report. Può essere "Low", "Med", "High"
  • Service = All Definisce per quali servizi verificare i log. Può essere "All" o uno o più servizi, da scrivere su più righe, come "pam_pwdb" e "ftpd-messages"
  • # LogFile = messages Specifica un singolo file di log da analizzare. Se "Service = All" vengono comunque analizzati tutti i log

Utilizzo da shell

La modalità di utilizzo tipica è l'esecuzione in crontab del semplice comando logwatch che si basa sulle impostazioni generali nel file di configurazione. Per test o controlli straordinari si possono comunque passare alcuni argomenti alla command line:

logwatch --print --detail High --archives --range All

Stampa a video (--print) invece che inviare via mail, con il massimo dettaglio (--detail High), includendo anche i log archiviati (--archives) tutti i messaggi di ogni data (--range All)

logwatch --save logwatch.txt --range Today

Salva sul file logwatch.txt (--save logwatch.txt) l'output relativo alla giornata corrente (--range Today), usando per gli altri parametri le impostazioni definite nel file di configurazione.
Se desiderate ricevere le email di logwatch anche su un indirizzo di posta elettronico esterno al sistema da monitorare, modificate il file /etc/aliases come segue:

vostro_utente: vostro_utente indirizzo_esterno@pippo.com

Non dimenticate, alla fine delle modifiche, di lanciare il comando:

# newaliases




Guida scritta da: Ferdybassi

Swirl-auth20.png Debianized 20%

Estesa da:
Verificata da:

Verificare ed estendere la guida | Cos'è una guida Debianized