Inhaltsverzeichnis

Logcheck

Logcheck überwacht angegebene Logs und schickt Auffälligkeiten in jenen per E-mail an den Administrator. So können Konfigurationsfehler und Sicherheitsprobleme frühzeitig erkannt werden. Diese Anleitung beschreibt die Einrichtung von Logcheck.

Softwarevoraussetzungen: Paketverwaltung | Texteditor | Mailserver
Schwierigkeitsgrad: Mittel
Ausgetestet mit folgenden Betriebssystemen: Ubuntu | Debian

Installation

Man installiert das Paket logcheck mittels 

user@server:~$ sudo apt-get install logcheck

Konfiguration

Hierfür bearbeitet man die /etc/logcheck/logcheck.conf: 

user@server:~$ sudo nano /etc/logcheck/logcheck.conf

…und setzt eine gültige Mailadresse ein (Postfix oder ein anderer MTA/LTP wird benötigt):

SENDMAILTO="root@localhost"   # eine Mailadresse des Admins

Zu überwachende Logs

Die zu überprüfenden Logs werden in der /etc/logcheck/logcheck.logfiles aufgelistet: 

user@server:~$ sudo nano /etc/logcheck/logcheck.logfiles

Die von Haus aus aktivierten Logs sind oftmals schon ausreichend.

Beispiel

# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/auth.log
/var/log/mail.log
/var/log/clamav/clamav.log

Starten und Testen

Logcheck wird nun jede Stunde ausgeführt. Testen kann man das ganz einfach, indem man den Rechner neu startet, dabei erhält man die Logs des Bootvorgangs. Jede volle Stunde – falls logcheck etwas findet – könnte eine Mail im konfigurierten Postfach eintreffen.

Beispielmail

Eine Beispielmail könnte wie folgt aussehen: 

This email is sent by logcheck. If you no longer wish to receive
such mails, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Mar 27 03:12:43 littlehost kernel: [43892.521935] lo: Disabled Privacy Extensions
Mar 27 04:00:01 littlehost acpid: exiting
Mar 27 04:00:01 littlehost init: tty4 main process (945) killed by TERM signal
Mar 27 04:00:01 littlehost init: tty5 main process (948) killed by TERM signal
Mar 27 04:00:01 littlehost init: tty2 main process (965) killed by TERM signal
Mar 27 04:00:01 littlehost init: tty6 main process (972) killed by TERM signal

Mehr Informationen

Mehr Infos über Logcheck erfährt man mit: 

user@server:~$ man logcheck


chrisge 2014/07/03 18:04

Zur Bereitstellung eines bestmöglichen Angebots setzt diese Webseite Cookies ein. Durch die Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden. Weitere Informationen

Zuletzt angesehen: Logcheck