Instalar LogWatch – Análisis de log para administradores

Bokudan Linux, Seguridad

Introducción

Hace tiempo usaba unos logs que me llegaban a diario a mi correo sobre el estado de los servicios o revisión de los logs. Estos logs me servían de información para ver lo ocurrido en el durante el día o lo que había pasado. Entre los detalles que aparece:

  • Revisión de los paquetes instalados/desinstalados.
  • Revisión de posibles problemas en los logs.
  • Accesos no autorizados (IP).
  • Información de dichos accesos no autorizados.

Pues bien como todo buen administrador nosotros podemos tener herramientas que nos hagan nuestro trabajo más fácil y solventar posibles problemas e incidencias que vayan aconteciendo.

Sistemas Operativos probados : Ubuntu 16.04

En este manual vamos a explicar como instalar LogWatch y su configuración básica.

Instalar LogWatch

La instalación es muy sencilla ya que el paquete es oficial:

apt-get install logwatch

Una vez instalado nos iremos a su archivo de configuración y lo editaremos:

vim /usr/share/logwatch/default.conf/logwatch.conf

Los parámetros que vamos a ver son los siguiente:

# Parámetro que nos indica donde se encuentran los logs por defecto
LogDir = /var/log

# Podemos configurar el correo sea texto plano o html
Format = text || Format = html

# Especificar donde se enviará el correo
MailTo = 

# El tiempo por defecto del reporte, por defecto está en el día de ayer. Opciones All, Today, Yesterday.
Range = yesterday

# El tipo de detalle en el reporte. Opciones Low, Med, High.
Detail = Med

# Por defecto están activo todos los servicios pero si queremos especificar alguno en especial este es el parámetro. Crear una línea por cada log.
Service = All

# Por defecto se utiliza así para enviar el correo.
mailer = "/usr/sbin/sendmail -t"

Una vez que lo hemos configurado guardamos y debería funcionar para el siguiente día el envío del reporte. Recordad que los correos desde el sistema llegan como root@hostname por lo tanto pueden entrar en la lista de SPAM de nuestro proveedor de correo.

Ahora bien como último apunte existe la manera de poder lanzarlo de manera manual:

logwatch --detail Low --mailto email@address --service All --range yesterday

Con esto cuando termine me enviará un correo a mi cuenta.

Conclusión

Esta es una herramienta más a mirar en nuestro día que nos permite tener de manera automatizada partes esenciales de nuestras tareas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.