tuto:linux:logwatch
Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
tuto:linux:logwatch [2009/03/15 12:13] – créée root | tuto:linux:logwatch [2009/03/15 12:17] (Version actuelle) – root | ||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | == Logwatch == | + | ====== Logwatch |
Source : http:// | Source : http:// | ||
- | === Description === | + | ===== Description |
Logwatch est un analyseur de logs systèmes pour Unix entièrement personnalisable. Il permet aux possesseurs de serveurs dédiés (à domicile, serveur web, en entreprise ...) de recevoir chaque jour un mail récapitulatif de l' | Logwatch est un analyseur de logs systèmes pour Unix entièrement personnalisable. Il permet aux possesseurs de serveurs dédiés (à domicile, serveur web, en entreprise ...) de recevoir chaque jour un mail récapitulatif de l' | ||
- | * les paquets installés, désinstallés, | + | |
- | * les mails envoyés par Exim ou autre | + | * les mails envoyés par Exim ou autre |
- | * un récapitulatif des requêtes Apache (ou Apache2) : en volume, en nombre de pages, les requêtes ayant échouées | + | * un récapitulatif des requêtes Apache (ou Apache2) : en volume, en nombre de pages, les requêtes ayant échouées |
- | * les logins/ | + | * les logins/ |
- | * l' | + | * l' |
- | * Les attaques potentielles reçues par le serveur | + | * Les attaques potentielles reçues par le serveur |
- | === Installation === | + | ===== Installation |
Je vais donc détaillé l' | Je vais donc détaillé l' | ||
Ligne 20: | Ligne 20: | ||
(note : toutes les commandes suivantes ont été réalisées sur la distribution Linux Debian 4.0 « Etch ». Cependant, la plupart des commandes et fichiers doivent être identiques ou quelque peu adaptés selon les paquets présents pour fonctionner sur une autre distribution) | (note : toutes les commandes suivantes ont été réalisées sur la distribution Linux Debian 4.0 « Etch ». Cependant, la plupart des commandes et fichiers doivent être identiques ou quelque peu adaptés selon les paquets présents pour fonctionner sur une autre distribution) | ||
- | Logwatch est un paquet disponible sur la plupart des distributions Linux, il suffit donc de l' | + | Logwatch est un paquet disponible sur la plupart des distributions Linux, il suffit donc de l' |
- | === Configuration === | + | ===== Configuration |
- | Dès l' | + | Dès l' |
Les options par défaut vont nous convenir pour le moment, à part le champ | Les options par défaut vont nous convenir pour le moment, à part le champ | ||
- | MailTo = foo@bar.com | + | |
que l'on va changer en renseignant notre adresse email bien sûr. Attention : si votre serveur dédié est hébergé à domicile par exemple, il se peut que l' | que l'on va changer en renseignant notre adresse email bien sûr. Attention : si votre serveur dédié est hébergé à domicile par exemple, il se peut que l' | ||
- | MailFrom = logwatch@foobar.com | + | |
(que l'on peut changer également). Les gens utilisant un serveur dédié chez un hébergeur ne devrait pas avoir ce soucis. | (que l'on peut changer également). Les gens utilisant un serveur dédié chez un hébergeur ne devrait pas avoir ce soucis. | ||
Ligne 38: | Ligne 38: | ||
On va déjà vérifier que le programme fonctionne sans encombre en utilisant | On va déjà vérifier que le programme fonctionne sans encombre en utilisant | ||
- | logwatch --range=Today --print | + | |
qui va afficher sur la sortie standard (stdout) le logwatch de la journée. Si cette sortie a fonctionné, | qui va afficher sur la sortie standard (stdout) le logwatch de la journée. Si cette sortie a fonctionné, | ||
- | mailer | + | |
et adapter selon la machine. Pour ma part, j' | et adapter selon la machine. Pour ma part, j' | ||
- | mailer = " | + | |
Si tout s'est bien passé jusqu' | Si tout s'est bien passé jusqu' | ||
- | Detail = High | + | |
On peut utiliser les valeurs Low, Medium ou encore un chiffre entre 1 et 10, du moins détaillé au plus détaillé. | On peut utiliser les valeurs Low, Medium ou encore un chiffre entre 1 et 10, du moins détaillé au plus détaillé. | ||
Ligne 56: | Ligne 56: | ||
Pour ce qui est du choix des services, le plus simple est de commencer par les sélectionner tous : | Pour ce qui est du choix des services, le plus simple est de commencer par les sélectionner tous : | ||
- | Service = All | + | |
, de réutiliser la commande logwatch, et de noter les services que vous ne désirez pas voir apparaitre dans votre logwatch, puis de les soustraire de cette manière : | , de réutiliser la commande logwatch, et de noter les services que vous ne désirez pas voir apparaitre dans votre logwatch, puis de les soustraire de cette manière : | ||
- | Service = " | + | |
- | | + | Service = " |
par exemple. | par exemple. | ||
Ligne 68: | Ligne 68: | ||
- | === Fichier de configuration de Logwatch === | + | ===== Fichier de configuration de Logwatch |
- | * Les logs de cette machine sont stockés sur /var/log | + | |
LogDir = /var/log | LogDir = /var/log | ||
- | * Le répertoire temporaire de logwatch | + | |
TmpDir = / | TmpDir = / | ||
- | * La liste des adresses emails à qui le logwatch sera envoyé, séparés par des espaces | + | |
MailTo = moi@chezmoi.com mespotes@chezeux.com | MailTo = moi@chezmoi.com mespotes@chezeux.com | ||
- | * L' | + | |
MailFrom = " | MailFrom = " | ||
- | * La sortie se fait par email, et non sur la sortie standard | + | |
Print = No | Print = No | ||
- | * Le mail que je reçois le jour N concerne le jour N-1 | + | |
Range = yesterday | Range = yesterday | ||
- | * Les détails au maximum | + | |
Detail = High | Detail = High | ||
- | * Choix des services | + | |
Service = All | Service = All | ||
Service = " | Service = " | ||
- | Service = " | + | Service = " |
Service = " | Service = " | ||
Service = " | Service = " | ||
Service = " | Service = " | ||
- | * Utilisation de sendmail pour envoyer les emails | + | |
mailer = " | mailer = " | ||
A noter que les fichiers disponibles dans / | A noter que les fichiers disponibles dans / | ||
- | === Exemple de rapport === | + | ===== Exemple de rapport |
Et voici un exemple de ce que ça donne dans la vie de tous les jours, un logwatch pris au hasard dans mes archives : | Et voici un exemple de ce que ça donne dans la vie de tous les jours, un logwatch pris au hasard dans mes archives : | ||
+ | < | ||
+ | ################### | ||
+ | Processing Initiated: Sun Feb 17 06:25:22 2008 | ||
+ | Date Range Processed: yesterday | ||
+ | ( 2008-Feb-16 ) | ||
+ | Period is day. | ||
+ | Detail Level of Output: 5 | ||
+ | Type of Output: unformatted | ||
+ | Logfiles for Host: kiwi | ||
+ | ################################################################## | ||
- | ################### | + | --------------------- dpkg status changes Begin ------------------------ |
- | | + | |
- | Date Range Processed: yesterday | + | |
- | ( 2008-Feb-16 ) | + | |
- | | + | |
- | | + | |
- | Type of Output: unformatted | + | |
- | Logfiles for Host: kiwi | + | |
- | ################################################################## | + | |
- | | + | Upgraded: |
+ | evolution-data-server-common 1.12.2-1 => 1.12.3-1 | ||
+ | libedataserver1.2-9 1.12.2-1+b1 => 1.12.3-1 | ||
+ | libegroupwise1.2-13 1.12.2-1+b1 => 1.12.3-1 | ||
+ | libgnome-pilot2 2.0.15-2+b1 => 2.0.15-2.1 | ||
+ | libjack0 0.109.0-1 => 0.109.2-1 | ||
+ | libjack0.100.0-0 0.109.0-1 => 0.109.2-1 | ||
+ | libpq-dev 8.3~rc2-1+b1 => 8.3.0-1 | ||
+ | libpq5 8.3~rc2-1+b1 => 8.3.0-1 | ||
+ | libpulse0 0.9.8-2 => 0.9.9-1 | ||
+ | libsdl1.2-dev 1.2.13-1 => 1.2.13-2 | ||
+ | libsdl1.2debian 1.2.13-1 => 1.2.13-2 | ||
+ | libsdl1.2debian-all 1.2.13-1 => 1.2.13-2 | ||
+ | mktemp 1.5-5 => 1.5-7 | ||
+ | modconf 0.3.5 => 0.3.6 | ||
- | | + | ---------------------- |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | libpq-dev 8.3~rc2-1+b1 => 8.3.0-1 | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | ||
+ | --------------------- EXIM Begin ------------------------ | ||
- | | ||
- | + | | |
- | --- Queue Runners --- | + | |
Start queue run: 120 Time(s) | Start queue run: 120 Time(s) | ||
End queue run: 120 Time(s) | End queue run: 120 Time(s) | ||
- | ---------------------- EXIM End ------------------------- | + | |
- | --------------------- httpd Begin ------------------------ | + | |
- | 4902.75 MB transferred in 1722 responses | + | |
3xx 3, 4xx 485, 5xx 0) | 3xx 3, 4xx 485, 5xx 0) | ||
- | | + | |
- | 4 Documents (0.03 MB), | + | 4 Documents (0.03 MB), |
- | 7 Movies files (4900.66 MB), | + | 7 Movies files (4900.66 MB), |
- | | + | 1177 Content pages (1.78 MB), |
- | 3 Redirects (0.00 MB), | + | 3 Redirects (0.00 MB), |
- | 181 Other (0.12 MB) | + | 181 Other (0.12 MB) |
- | Attempts to use known hacks by 1 hosts were logged 1 time(s) from: | + | |
- | | + | 127.0.0.1: 1 Time(s) |
- | A total of 1 sites probed the server | + | |
- | | + | 127.0.0.1 |
- | A total of 1 possible successful probes were detected (the following URLs | + | |
- | | + | contain strings that match one or more of a listing of strings that |
- | | + | indicate a possible exploit): |
- | null HTTP Response 200 | + | |
- | Requests with error response codes | + | |
- | | + | 400 Bad Request |
- | / | + | / |
- | | + | 401 Unauthorized |
- | /: 3 Time(s) | + | /: 3 Time(s) |
- | / | + | / |
- | | + | 404 Not Found |
- | / | + | / |
- | /films: 1 Time(s) | + | /films: 1 Time(s) |
- | / | + | / |
- | / | + | / |
- | A total of 1 ROBOTS were logged | + | |
- | ---------------------- httpd End ------------------------- | + | |
- | --------------------- pam_unix Begin ------------------------ | + | |
- | cron: | + | |
- | | + | Sessions Opened: |
- | root: 769 Time(s) | + | root: 769 Time(s) |
- | munin: 289 Time(s) | + | munin: 289 Time(s) |
- | netmrg: 288 Time(s) | + | netmrg: 288 Time(s) |
- | tab: 144 Time(s) | + | tab: 144 Time(s) |
- | smmsp: 72 Time(s) | + | smmsp: 72 Time(s) |
- | proftpd: | + | |
- | | + | Unknown Entries: |
- | session closed for user arnaud: 26 Time(s) | + | session closed for user arnaud: 26 Time(s) |
- | session opened for user arnaud by (uid=0): 24 Time(s) | + | session opened for user arnaud by (uid=0): 24 Time(s) |
- | session closed for user blacklagoon: | + | session closed for user blacklagoon: |
- | session opened for user blacklagoon by (uid=0): 21 Time(s) | + | session opened for user blacklagoon by (uid=0): 21 Time(s) |
- | session closed for user guilou: 5 Time(s) | + | session closed for user guilou: 5 Time(s) |
- | session opened for user guilou by (uid=0): 5 Time(s) | + | session opened for user guilou by (uid=0): 5 Time(s) |
- | authentication failure; logname= uid=0 euid=0 tty= | + | authentication failure; logname= uid=0 euid=0 tty= |
- | ruser=ftp rhost=lists.unitedprint.com | + | ruser=ftp rhost=lists.unitedprint.com user=ftp: 2 Time(s) |
- | authentication failure; logname= uid=0 euid=0 tty= | + | authentication failure; logname= uid=0 euid=0 tty= |
- | ruser=mysql rhost=lists.unitedprint.com | + | ruser=mysql rhost=lists.unitedprint.com user=mysql: 2 Time(s) |
- | ssh: | + | |
- | | + | Unknown Entries: |
- | session closed for user arnaud: 2 Time(s) | + | session closed for user arnaud: 2 Time(s) |
- | session closed for user kisscoolman: | + | session closed for user kisscoolman: |
- | session opened for user arnaud by (uid=0): 2 Time(s) | + | session opened for user arnaud by (uid=0): 2 Time(s) |
- | session closed for user guilou: 1 Time(s) | + | session closed for user guilou: 1 Time(s) |
- | session opened for user guilou by (uid=0): 1 Time(s) | + | session opened for user guilou by (uid=0): 1 Time(s) |
- | session opened for user kisscoolman by (uid=0): 1 Time(s) | + | session opened for user kisscoolman by (uid=0): 1 Time(s) |
- | su: | + | |
- | | + | Sessions Opened: |
- | root -> root: 1 Time(s) | + | root -> root: 1 Time(s) |
- | ---------------------- pam_unix End ------------------------- | + | |
- | --------------------- proftpd-messages Begin ------------------------ | + | |
- | **Unmatched Entries** | + | |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | logname= uid=0 euid=0 tty= ruser=ftp rhost=lists.unitedprint.com user=ftp |
- | | + | pam_unix(proftpd: |
- | | + | logname= uid=0 euid=0 tty= ruser=ftp rhost=lists.unitedprint.com user=ftp |
- | | + | pam_unix(proftpd: |
- | | + | logname= uid=0 euid=0 tty= ruser=mysql rhost=lists.unitedprint.com user=mysql |
- | | + | pam_unix(proftpd: |
- | | + | logname= uid=0 euid=0 tty= ruser=mysql rhost=lists.unitedprint.com user=mysql |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
+ | pam_unix(proftpd: | ||
pam_unix(proftpd: | pam_unix(proftpd: | ||
- | | + | |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | pam_unix(proftpd: |
- | | + | |
- | pam_unix(proftpd: | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | ---------------------- proftpd-messages End ------------------------- | + | |
- | --------------------- SSHD Begin ------------------------ | + | |
- | Users logging in through sshd: | + | |
- | | + | arnaud: |
- | 83.153.75.xxx (dyn-83-153-75-xxx.ppp.tiscali.fr): | + | 83.153.75.xxx (dyn-83-153-75-xxx.ppp.tiscali.fr): |
- | | + | guilou: |
- | 192.168.0.1: | + | 192.168.0.1: |
- | | + | kisscoolman: |
- | 62.147.159.XXX (xxx-xxx-48f-62-147-159-xxx.adsl.proxad.net): | + | 62.147.159.XXX (xxx-xxx-48f-62-147-159-xxx.adsl.proxad.net): |
- | **Unmatched Entries** | + | |
- | | + | reverse mapping checking getaddrinfo for 86-121-210-217.rdsnet.ro |
- | | + | [86.121.210.217] failed - POSSIBLE BREAK-IN ATTEMPT! : 1004 time(s) |
- | ---------------------- SSHD End ------------------------- | + | |
- | --------------------- Disk Space Begin ------------------------ | + | |
- | Filesystem | + | |
- | / | + | /dev/hda1 4.9G 3.3G 1.4G 71% / |
- | / | + | /dev/hda2 67G 49G 15G 77% /home |
- | / | + | /dev/hdb1 147G 84G 57G 60% /pub |
- | ---------------------- Disk Space End ------------------------- | + | |
- | ###################### | + | |
+ | </ | ||
tuto/linux/logwatch.1237119229.txt.gz · Dernière modification : 2009/03/15 12:13 de root