Différences

Ci-dessous, les différences entre deux révisions de la page.

--- tuto:linux:logwatch [2009/03/15 12:13] – créée root
+++ tuto:linux:logwatch [2009/03/15 12:17] (Version actuelle) – root
@@ Ligne 1: / Ligne 1: @@
-== Logwatch ==
+====== Logwatch ======
 Source : http://www.betaphile.net/index.php/2008/03/05/6-logwatch-recevez-un-mail-quotidien-resumant-l-utilisation-de-votre-serveur
-=== Description ===
+===== Description =====
 Logwatch est un analyseur de logs systèmes pour Unix entièrement personnalisable. Il permet aux possesseurs de serveurs dédiés (à domicile, serveur web, en entreprise ...) de recevoir chaque jour un mail récapitulatif de l'utilisation du serveur obtenu en analysant les logs dans /var/log, comme par exemple :
-* les paquets installés, désinstallés, ou mis à jour
+  * les paquets installés, désinstallés, ou mis à jour
-* les mails envoyés par Exim ou autre
+  * les mails envoyés par Exim ou autre
-* un récapitulatif des requêtes Apache (ou Apache2) : en volume, en nombre de pages, les requêtes ayant échouées
+  * un récapitulatif des requêtes Apache (ou Apache2) : en volume, en nombre de pages, les requêtes ayant échouées
-* les logins/logouts des différents users via SSHD ou encore ProFTPD
+  * les logins/logouts des différents users via SSHD ou encore ProFTPD
-* l'utilisation des disques durs
+  * l'utilisation des disques durs
-* Les attaques potentielles reçues par le serveur
+  * Les attaques potentielles reçues par le serveur
-=== Installation ===
+===== Installation =====
 Je vais donc détaillé l'installation et la configuration de ce petit logiciel.
@@ Ligne 20: / Ligne 20: @@
 (note : toutes les commandes suivantes ont été réalisées sur la distribution Linux Debian 4.0 « Etch ». Cependant, la plupart des commandes et fichiers doivent être identiques ou quelque peu adaptés selon les paquets présents pour fonctionner sur une autre distribution)
-Logwatch est un paquet disponible sur la plupart des distributions Linux, il suffit donc de l'installer via son gestionnaire de paquets préféré, apt par exemple : ''apt-get install logwatch'' , et l'installation est déjà terminée !
+Logwatch est un paquet disponible sur la plupart des distributions Linux, il suffit donc de l'installer via son gestionnaire de paquets préféré, apt par exemple : //apt-get install logwatch// , et l'installation est déjà terminée !
-=== Configuration ===
+===== Configuration =====
-Dès l'installation, logwatch va créer un répertoire ''/etc/logwatch/'' et un autre ''/usr/share/logwatch/'', et nous allons pour l'instant nous occuper de ce dernier. On va travailler plus précisément dans le sous-répertoire ''default.conf''/. Commençons par le plus gros du travail, c'est à dire le fichier ''/usr/share/logwatch/default.conf/logwatch.conf''.
+Dès l'installation, logwatch va créer un répertoire ///etc/logwatch/// et un autre ///usr/share/logwatch///, et nous allons pour l'instant nous occuper de ce dernier. On va travailler plus précisément dans le sous-répertoire //default.conf///. Commençons par le plus gros du travail, c'est à dire le fichier ///usr/share/logwatch/default.conf/logwatch.conf//.
 Les options par défaut vont nous convenir pour le moment, à part le champ
- MailTo = foo@bar.com
+  MailTo = foo@bar.com
 que l'on va changer en renseignant notre adresse email bien sûr. Attention : si votre serveur dédié est hébergé à domicile par exemple, il se peut que l'email soit considéré comme du spam par votre messagerie, car c'est un mail envoyé automatiquement, avec une adresse mail forgée par le champ
- MailFrom = logwatch@foobar.com
+  MailFrom = logwatch@foobar.com
 (que l'on peut changer également). Les gens utilisant un serveur dédié chez un hébergeur ne devrait pas avoir ce soucis.
@@ Ligne 38: / Ligne 38: @@
 On va déjà vérifier que le programme fonctionne sans encombre en utilisant
- logwatch --range=Today --print
+  logwatch --range=Today --print
 qui va afficher sur la sortie standard (stdout) le logwatch de la journée. Si cette sortie a fonctionné, vous pouvez tester maintenant sans le --print afin de tester l'envoi d'email : logwatch --range=Today (on peut aussi faire --range=Yesterday ;-)). Si vous avez bien reçu le mail, c'est cool. Sinon, il va falloir vérifier le champ
- mailer
+  mailer
 et adapter selon la machine. Pour ma part, j'utilise sendmail (après m'être bagarré un bout de temps avec les autres, c'est celui ci que j'ai retenu), donc la configuration donne :
- mailer = "sendmail -t"
+  mailer = "sendmail -t"
 Si tout s'est bien passé jusqu'içi, on va pouvoir affiner un peu les réglages, et entre autre choisir les services que l'on désire analyser, ainsi que le niveau de détails. Pour cela, toujours dans le fichier : /usr/share/logwatch/default.conf/logwatch.conf, on va tout d'abord régler le champ :
- Detail = High
+  Detail = High
 On peut utiliser les valeurs Low, Medium ou encore un chiffre entre 1 et 10, du moins détaillé au plus détaillé.
@@ Ligne 56: / Ligne 56: @@
 Pour ce qui est du choix des services, le plus simple est de commencer par les sélectionner tous :
- Service = All
+  Service = All
 , de réutiliser la commande logwatch, et de noter les services que vous ne désirez pas voir apparaitre dans votre logwatch, puis de les soustraire de cette manière :
- Service = "-zz-network"
+  Service = "-zz-network"
- Service = "-zz-eximstats"
+  Service = "-zz-eximstats"
 par exemple.
@@ Ligne 68: / Ligne 68: @@
-=== Fichier de configuration de Logwatch ===
+===== Fichier de configuration de Logwatch =====
-* Les logs de cette machine sont stockés sur /var/log
+  * Les logs de cette machine sont stockés sur /var/log
 LogDir = /var/log
-* Le répertoire temporaire de logwatch
+  * Le répertoire temporaire de logwatch
 TmpDir = /var/cache/logwatch
-* La liste des adresses emails à qui le logwatch sera envoyé, séparés par des espaces
+  * La liste des adresses emails à qui le logwatch sera envoyé, séparés par des espaces
 MailTo = moi@chezmoi.com mespotes@chezeux.com
-* L'adresse email qui s'affichera lorsque je recevrais le mail foireux, pour une raison inconnue, donc écrasé par /etc/logwatch/conf/logwatch.conf
+  * L'adresse email qui s'affichera lorsque je recevrais le mail foireux, pour une raison inconnue, donc écrasé par /etc/logwatch/conf/logwatch.conf
 MailFrom = "logwatch\@cyber116.fr"
-* La sortie se fait par email, et non sur la sortie standard
+  * La sortie se fait par email, et non sur la sortie standard
 Print = No
-* Le mail que je reçois le jour N concerne le jour N-1
+  * Le mail que je reçois le jour N concerne le jour N-1
 Range = yesterday
-* Les détails au maximum
+  * Les détails au maximum
 Detail = High
-* Choix des services
+  * Choix des services
 Service = All
 Service = "-zz-network"
 Service = "-zz-sys"
 Service = "-eximstats"
 Service = "-cron"
 Service = "-iptables"
-* Utilisation de sendmail pour envoyer les emails
+  * Utilisation de sendmail pour envoyer les emails
 mailer = "sendmail -t"
 A noter que les fichiers disponibles dans /etc/logwatch/conf vont venir écraser la configuration disponible dans /usr/share/logwatch/default.conf/, je m'en sers juste pour remettre le champ MailFrom comme il faut, car aussi bizarre que cela puisse paraître, il n'est pas pris en compte dans la configuration de départ.
-=== Exemple de rapport ===
+===== Exemple de rapport =====
 Et voici un exemple de ce que ça donne dans la vie de tous les jours, un logwatch pris au hasard dans mes archives :
+<code>
+  ################### Logwatch 7.3.6 (05/19/07) ####################
+  Processing Initiated: Sun Feb 17 06:25:22 2008
+  Date Range Processed: yesterday
+  ( 2008-Feb-16 )
+  Period is day.
+  Detail Level of Output: 5
+  Type of Output: unformatted
+  Logfiles for Host: kiwi
+  ##################################################################
- ################### Logwatch 7.3.6 (05/19/07) ####################
+  --------------------- dpkg status changes Begin ------------------------
-       Processing Initiated: Sun Feb 17 06:25:22 2008
-       Date Range Processed: yesterday
-                             ( 2008-Feb-16 )
-                             Period is day.
-     Detail Level of Output: 5
-             Type of Output: unformatted
-          Logfiles for Host: kiwi
- ##################################################################
- --------------------- dpkg status changes Begin ------------------------
+  Upgraded:
+  evolution-data-server-common 1.12.2-1 => 1.12.3-1
+  libedataserver1.2-9 1.12.2-1+b1 => 1.12.3-1
+  libegroupwise1.2-13 1.12.2-1+b1 => 1.12.3-1
+  libgnome-pilot2 2.0.15-2+b1 => 2.0.15-2.1
+  libjack0 0.109.0-1 => 0.109.2-1
+  libjack0.100.0-0 0.109.0-1 => 0.109.2-1
+  libpq-dev 8.3~rc2-1+b1 => 8.3.0-1
+  libpq5 8.3~rc2-1+b1 => 8.3.0-1
+  libpulse0 0.9.8-2 => 0.9.9-1
+  libsdl1.2-dev 1.2.13-1 => 1.2.13-2
+  libsdl1.2debian 1.2.13-1 => 1.2.13-2
+  libsdl1.2debian-all 1.2.13-1 => 1.2.13-2
+  mktemp 1.5-5 => 1.5-7
+  modconf 0.3.5 => 0.3.6
- Upgraded:
+  ---------------------- dpkg status changes End -------------------------
-   evolution-data-server-common 1.12.2-1 => 1.12.3-1
-   libedataserver1.2-9 1.12.2-1+b1 => 1.12.3-1
-   libegroupwise1.2-13 1.12.2-1+b1 => 1.12.3-1
-   libgnome-pilot2 2.0.15-2+b1 => 2.0.15-2.1
-   libjack0 0.109.0-1 => 0.109.2-1
-   libjack0.100.0-0 0.109.0-1 => 0.109.2-1
-   libpq-dev 8.3~rc2-1+b1 => 8.3.0-1
-   libpq5 8.3~rc2-1+b1 => 8.3.0-1
-   libpulse0 0.9.8-2 => 0.9.9-1
-   libsdl1.2-dev 1.2.13-1 => 1.2.13-2
-   libsdl1.2debian 1.2.13-1 => 1.2.13-2
-   libsdl1.2debian-all 1.2.13-1 => 1.2.13-2
-   mktemp 1.5-5 => 1.5-7
-   modconf 0.3.5 => 0.3.6
- ---------------------- dpkg status changes End -------------------------
+  --------------------- EXIM Begin ------------------------
- --------------------- EXIM Begin ------------------------
+  --- Queue Runners ---
- --- Queue Runners ---
   Start queue run: 120 Time(s)
   End queue run: 120 Time(s)
- ---------------------- EXIM End -------------------------
+  ---------------------- EXIM End -------------------------
- --------------------- httpd Begin ------------------------
+  --------------------- httpd Begin ------------------------
-.75 MB transferred in 1722 responses  (1xx 0, 2xx 1234,
+.75 MB transferred in 1722 responses (1xx 0, 2xx 1234,
 xx 3, 4xx 485, 5xx 0)
 Images (0.17 MB),
 Documents (0.03 MB),
 Movies files (4900.66 MB),
 Content pages (1.78 MB),
 Redirects (0.00 MB),
 Other (0.12 MB)
- Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
+  Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
 .0.0.1: 1 Time(s)
- A total of 1 sites probed the server
+  A total of 1 sites probed the server
 .0.0.1
- A total of 1 possible successful probes were detected (the following URLs
+  A total of 1 possible successful probes were detected (the following URLs
- contain strings that match one or more of a listing of strings that
+  contain strings that match one or more of a listing of strings that
- indicate a possible exploit):
+  indicate a possible exploit):
-   null HTTP Response 200
+  null HTTP Response 200
- Requests with error response codes
+  Requests with error response codes
 Bad Request
-      /cgi-bin/firmwarecfg: 3 Time(s)
+  /cgi-bin/firmwarecfg: 3 Time(s)
 Unauthorized
-      /: 3 Time(s)
+  /: 3 Time(s)
-      /index.php?p=obj-rss,/: 1 Time(s)
+  /index.php?p=obj-rss,/: 1 Time(s)
 Not Found
-      /favicon.ico: 311 Time(s)
+  /favicon.ico: 311 Time(s)
-      /films: 1 Time(s)
+  /films: 1 Time(s)
-      /plugins/clickheat/libs/js/clickheat.js: 8 Time(s)
+  /plugins/clickheat/libs/js/clickheat.js: 8 Time(s)
-      /robots.txt: 2 Time(s)
+  /robots.txt: 2 Time(s)
- A total of 1 ROBOTS were logged
+  A total of 1 ROBOTS were logged
- ---------------------- httpd End -------------------------
+  ---------------------- httpd End -------------------------
- --------------------- pam_unix Begin ------------------------
+  --------------------- pam_unix Begin ------------------------
- cron:
+  cron:
-   Sessions Opened:
+  Sessions Opened:
-      root: 769 Time(s)
+  root: 769 Time(s)
-      munin: 289 Time(s)
+  munin: 289 Time(s)
-      netmrg: 288 Time(s)
+  netmrg: 288 Time(s)
-      tab: 144 Time(s)
+  tab: 144 Time(s)
-      smmsp: 72 Time(s)
+  smmsp: 72 Time(s)
- proftpd:
+  proftpd:
-   Unknown Entries:
+  Unknown Entries:
-      session closed for user arnaud: 26 Time(s)
+  session closed for user arnaud: 26 Time(s)
-      session opened for user arnaud by (uid=0): 24 Time(s)
+  session opened for user arnaud by (uid=0): 24 Time(s)
-      session closed for user blacklagoon: 22 Time(s)
+  session closed for user blacklagoon: 22 Time(s)
-      session opened for user blacklagoon by (uid=0): 21 Time(s)
+  session opened for user blacklagoon by (uid=0): 21 Time(s)
-      session closed for user guilou: 5 Time(s)
+  session closed for user guilou: 5 Time(s)
-      session opened for user guilou by (uid=0): 5 Time(s)
+  session opened for user guilou by (uid=0): 5 Time(s)
-      authentication failure; logname= uid=0 euid=0 tty=
+  authentication failure; logname= uid=0 euid=0 tty=
-ruser=ftp rhost=lists.unitedprint.com  user=ftp: 2 Time(s)
+ruser=ftp rhost=lists.unitedprint.com user=ftp: 2 Time(s)
-      authentication failure; logname= uid=0 euid=0 tty=
+  authentication failure; logname= uid=0 euid=0 tty=
-ruser=mysql rhost=lists.unitedprint.com  user=mysql: 2 Time(s)
+ruser=mysql rhost=lists.unitedprint.com user=mysql: 2 Time(s)
- ssh:
+  ssh:
-   Unknown Entries:
+  Unknown Entries:
-      session closed for user arnaud: 2 Time(s)
+  session closed for user arnaud: 2 Time(s)
-      session closed for user kisscoolman: 2 Time(s)
+  session closed for user kisscoolman: 2 Time(s)
-      session opened for user arnaud by (uid=0): 2 Time(s)
+  session opened for user arnaud by (uid=0): 2 Time(s)
-      session closed for user guilou: 1 Time(s)
+  session closed for user guilou: 1 Time(s)
-      session opened for user guilou by (uid=0): 1 Time(s)
+  session opened for user guilou by (uid=0): 1 Time(s)
-      session opened for user kisscoolman by (uid=0): 1 Time(s)
+  session opened for user kisscoolman by (uid=0): 1 Time(s)
- su:
+  su:
-   Sessions Opened:
+  Sessions Opened:
-      root -> root: 1 Time(s)
+  root -> root: 1 Time(s)
- ---------------------- pam_unix End -------------------------
+  ---------------------- pam_unix End -------------------------
- --------------------- proftpd-messages Begin ------------------------
+  --------------------- proftpd-messages Begin ------------------------
- **Unmatched Entries**
+  **Unmatched Entries**
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session closed for user arnaud
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session closed for user arnaud
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session closed for user arnaud
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
- pam_unix(proftpd:auth): authentication failure;
+  pam_unix(proftpd:auth): authentication failure;
- logname= uid=0 euid=0 tty= ruser=ftp rhost=lists.unitedprint.com  user=ftp
+  logname= uid=0 euid=0 tty= ruser=ftp rhost=lists.unitedprint.com user=ftp
- pam_unix(proftpd:auth): authentication failure;
+  pam_unix(proftpd:auth): authentication failure;
- logname= uid=0 euid=0 tty= ruser=ftp rhost=lists.unitedprint.com  user=ftp
+  logname= uid=0 euid=0 tty= ruser=ftp rhost=lists.unitedprint.com user=ftp
- pam_unix(proftpd:auth): authentication failure;
+  pam_unix(proftpd:auth): authentication failure;
- logname= uid=0 euid=0 tty= ruser=mysql rhost=lists.unitedprint.com  user=mysql
+  logname= uid=0 euid=0 tty= ruser=mysql rhost=lists.unitedprint.com user=mysql
- pam_unix(proftpd:auth): authentication failure;
+  pam_unix(proftpd:auth): authentication failure;
- logname= uid=0 euid=0 tty= ruser=mysql rhost=lists.unitedprint.com  user=mysql
+  logname= uid=0 euid=0 tty= ruser=mysql rhost=lists.unitedprint.com user=mysql
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session closed for user arnaud
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user guilou by (uid=0)
+  pam_unix(proftpd:session): session opened for user guilou by (uid=0)
+  pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session closed for user guilou
+  pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session closed for user arnaud
   pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session closed for user arnaud
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session opened for user guilou by (uid=0)
+  pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session opened for user guilou by (uid=0)
+  pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session closed for user guilou
+  pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
+  pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session closed for user arnaud
+  pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session opened for user arnaud by (uid=0)
- pam_unix(proftpd:session): session closed for user arnaud
- pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session closed for user blacklagoon
- pam_unix(proftpd:session): session opened for user blacklagoon by (uid=0)
- ---------------------- proftpd-messages End -------------------------
+  ---------------------- proftpd-messages End -------------------------
- --------------------- SSHD Begin ------------------------
+  --------------------- SSHD Begin ------------------------
- Users logging in through sshd:
+  Users logging in through sshd:
-   arnaud:
+  arnaud:
 .153.75.xxx (dyn-83-153-75-xxx.ppp.tiscali.fr): 2 times
-   guilou:
+  guilou:
 .168.0.1: 1 time
-   kisscoolman:
+  kisscoolman:
 .147.159.XXX (xxx-xxx-48f-62-147-159-xxx.adsl.proxad.net): 1 time
- **Unmatched Entries**
+  **Unmatched Entries**
- reverse mapping checking getaddrinfo for 86-121-210-217.rdsnet.ro
+  reverse mapping checking getaddrinfo for 86-121-210-217.rdsnet.ro
- [86.121.210.217] failed - POSSIBLE BREAK-IN ATTEMPT! : 1004 time(s)
+  [86.121.210.217] failed - POSSIBLE BREAK-IN ATTEMPT! : 1004 time(s)
- ---------------------- SSHD End -------------------------
+  ---------------------- SSHD End -------------------------
- --------------------- Disk Space Begin ------------------------
+  --------------------- Disk Space Begin ------------------------
- Filesystem            Size  Used Avail Use% Mounted on
+  Filesystem Size Used Avail Use% Mounted on
- /dev/hda1             4.9G  3.3G  1.4G  71% /
+  /dev/hda1 4.9G 3.3G 1.4G 71% /
- /dev/hda2              67G   49G   15G  77% /home
+  /dev/hda2 67G 49G 15G 77% /home
- /dev/hdb1             147G   84G   57G  60% /pub
+  /dev/hdb1 147G 84G 57G 60% /pub
- ---------------------- Disk Space End -------------------------
+  ---------------------- Disk Space End -------------------------
- ###################### Logwatch End #########################
+  ###################### Logwatch End #########################
+</code>