2010/11/04

debian/ubuntu 安裝 logwatch 系統記錄分析及報告工具

如果一台 linux 機器放在實體的網路上,通常會有來自於各地的攻擊訊息
如果你不是一個勤勞的管理者,每天都有去看 log 檔的紀錄根本不會知道發生什麼事。
於是 logwatch 就是幫我門分析在系統的紀錄中,哪些疑似有問題的,每天回報給
管理者,管理人員透過回報的紀錄就會知道最近的伺服器狀況是如何,不用每天登入機器去關心。

office site
http://sourceforge.net/projects/logwatch/files/

* 安裝 logwatch
apt-get install logwatch

* 通常安莊程式會寫一個 script 到 /etc/cron.daily 內,讓他每天可以執行。如果應試要測試的話可以直接執行以做測試
/etc/cron.daily/00logwatch

執行完成後,分析的 email 會寄到 root 管理者的信箱。

如果要改變信箱,請使用標準的作法修改 /etc/aliases 檔案

root@ubuntu:~# nano /etc/aliases
# 詳細說明可以觀看 man 5 aliases for format
# 請在最底下加入
root: mtchang@xxx.jangmt.com
這樣會把 root 所有的信件轉到 mtchang@xxx.jangmt.com 的信箱。
管理人員收信就可以知道狀況了。

信件內容長的大概如下....

################### Logwatch 7.3.6 (05/19/07) ####################
Processing Initiated: Thu Nov  4 11:22:26 2010
Date Range Processed: yesterday
( 2010-Nov-03 )
Period is day.
Detail Level of Output: 0
Type of Output/Format: mail / text
Logfiles for Host: ubuntu
##################################################################

--------------------- dpkg status changes Begin ------------------------

Upgraded:
ttf-symbol-replacement-wine1.3 1.3.5-0ubuntu1~lucidppa1 => 1.3.6-0ubuntu1~lucidppa1
wine1.3 1.3.5-0ubuntu1~lucidppa1 => 1.3.6-0ubuntu1~lucidppa1

---------------------- dpkg status changes End -------------------------


--------------------- pam_unix Begin ------------------------

sesman:
Unknown Entries:
authentication failure; logname= uid=0 euid=0 tty= ruser= rhost= : 7 Time(s)
check pass; user unknown: 7 Time(s)

su:
Sessions Opened:
root -> root: 1 Time(s)


---------------------- pam_unix End -------------------------

--------------------- SSHD Begin ------------------------


Refused incoming connections:
189.20.68.59 (189.20.68.59): 1 Time(s)
203.116.55.140 (203.116.55.140): 2 Time(s)
customer-200-79-53-211.uninet-ide.com.mx (200.79.53.211): 1 Time(s)
mail.cipi.tj (79.170.186.119): 1 Time(s)
mail.ncku.edu.tw (140.116.229.2): 2 Time(s)

---------------------- SSHD End -------------------------
張貼留言