Logwatch
Logwatch - Analyse von Logdateien
Beschreibung
Wekkzeug für Systemadministratoren
- Übersicht über Vorgänge auf einem Serversystem
- Logwatch durchsucht die Logdateien des Systems und generiert eine Kurzfassung daraus, deren Gestaltung individuell konfiguriert werden kann.
- Diese kann dann entweder als Datei weiterverarbeitet oder zum Versenden an einen Mailserver weitergereicht werden.
- Zusätzlich zu den systemeigenen Logs können ohne weitere Konfiguration u.a. folgende Dienste überwacht werden
- Firewall/ iptables, fail2ban
- DNS-Server: BIND
- DHCP-Server: ISC-DHCPD
- SSH und OpenVPN
- Apache
- Mailserver: Postfix/Sendmail/Exim/qmail/Dovecot/Courier
- SpamAssassin / Amavis-Spam-Virenfilter
- FTP-Server: PureFTPd / ProFTPD / vsftpd
- ClamAV
- Samba
- RAID
- Cron
- SASL
Vorbereitung
- Falls die von Logwatch generierten Berichte per Mail versandt werden sollen, muss ein lokaler Mailserver vorhanden sein.
- Für Benutzer, die Logwatch für ihren SOHO-Server verwenden wollen, muss ein Mailserver aufgesetzt werden, der die Nachrichten an einen Smarthost weiterleitet. Dies geschieht am einfachsten mit Postfix.
Installation
sudo apt install logwatch
Die vordefinierte Einstellung ist ein zeitlich geplanter Start durch einen Cronjob
- Möchte man Logwatch lieber per Hand im Terminal oder aus einem Shell-Skript starten, geschieht das mit dem Befehl logwatch.
- Im Terminal wird nun ein Bericht ausgegeben, der zunächst die Grundinformationen über das Geschehen des letzten Tages enthält.
- Die Ausgabe kann nun mit den Parametern aus der nachfolgenden Tabelle den eigenen Wünschen angepasst werden.
- Es kann dabei die Ausgabemethode, das Ziel der Ausgabe, die Detailtiefe und der Zeitraum des Berichts angegeben werden.
Anwendung
- Kurzbericht für den aktuellen Tag
sudo logwatch --detail low --range today
- Detaillierter für den gestrigen Tag
in einem Ordner als HTML-Datei mit Datum als Name ablegen
sudo logwatch --detail high --range yesterday --format html --filename ~/logwatch/$(date +%F).html
- Kurzbericht für die letzten 30 Tage
Generieren und versenden
sudo logwatch --detail low --range 'between 30 days ago and yesterday' --mailto user@example.de
Aufruf
Optionen
| Unix | GNU | Parameter | Beschreibung |
|---|---|---|---|
| Parameter | Beschreibung |
|---|---|
| mail|file | Bestimmt die Ausgabemethode. (Default: stdout) |
| html | Bestimmt das Ausgabeformat. (Default: text) |
| --filename X | Bestimmt die Ausgabedatei X. |
| med|high | Bestimmt die Detailtiefe des Berichts. (Default: low) |
| --mailto X | Versendet den generierten Bericht per Mail an die Adresse X. (setzt einen installierten MTA voraus) |
| --range today | Bestimmt den Zeitraum, über welchen berichtet werden soll (siehe logwatch --range help) |
- Weitere Parameter
- logwatch --help
- man logwatch
Erfahrene Benutzer sollten auch den --service-Parameter beachten.
- Mit diesem ist es möglich, den Bericht auf nur einen Dienst oder eine Dienstgruppe zu beschränken.
- Die Namen der Dienste entsprechen den Namen des jeweiligen Konfigurationsskripts in /usr/share/logwatch/default.conf/services.
Parameter
Umgebungsvariablen
Exit-Status
| Wert | Beschreibung |
|---|---|
| 0 | Erfolg |
| >0 | Fehler |
Konfiguration
Dateien
| Datei | Beschreibung |
|---|---|
Anhang
Siehe auch
Dokumentation
Links
Projekt
Weblinks