Instalar LogWatch – Análisis de log para administradores

Bokudan Linux, Seguridad

Introducción

Hace tiempo usaba unos logs que me llegaban a diario a mi correo sobre el estado de los servicios o revisión de los logs. Estos logs me servían de información para ver lo ocurrido en el durante el día o lo que había pasado. Entre los detalles que aparece:

  • Revisión de los paquetes instalados/desinstalados.
  • Revisión de posibles problemas en los logs.
  • Accesos no autorizados (IP).
  • Información de dichos accesos no autorizados.

Pues bien como todo buen administrador nosotros podemos tener herramientas que nos hagan nuestro trabajo más fácil y solventar posibles problemas e incidencias que vayan aconteciendo.

Sistemas Operativos probados : Ubuntu 16.04

En este manual vamos a explicar como instalar LogWatch y su configuración básica.

Instalar LogWatch

La instalación es muy sencilla ya que el paquete es oficial:

apt-get install logwatch

Una vez instalado nos iremos a su archivo de configuración y lo editaremos:

vim /usr/share/logwatch/default.conf/logwatch.conf

Los parámetros que vamos a ver son los siguiente:

# Parámetro que nos indica donde se encuentran los logs por defecto
LogDir = /var/log

# Podemos configurar el correo sea texto plano o html
Format = text || Format = html

# Especificar donde se enviará el correo
MailTo = 

# El tiempo por defecto del reporte, por defecto está en el día de ayer. Opciones All, Today, Yesterday.
Range = yesterday

# El tipo de detalle en el reporte. Opciones Low, Med, High.
Detail = Med

# Por defecto están activo todos los servicios pero si queremos especificar alguno en especial este es el parámetro. Crear una línea por cada log.
Service = All

# Por defecto se utiliza así para enviar el correo.
mailer = "/usr/sbin/sendmail -t"

Una vez que lo hemos configurado guardamos y debería funcionar para el siguiente día el envío del reporte. Recordad que los correos desde el sistema llegan como root@hostname por lo tanto pueden entrar en la lista de SPAM de nuestro proveedor de correo.

Ahora bien como último apunte existe la manera de poder lanzarlo de manera manual:

logwatch --detail Low --mailto email@address --service All --range yesterday

Con esto cuando termine me enviará un correo a mi cuenta.

Conclusión

Esta es una herramienta más a mirar en nuestro día que nos permite tener de manera automatizada partes esenciales de nuestras tareas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *