Inhaltsverzeichnis
Logcheck
Logcheck überwacht angegebene Logs und schickt Auffälligkeiten in jenen per E-mail an den Administrator. So können Konfigurationsfehler und Sicherheitsprobleme frühzeitig erkannt werden. Diese Anleitung beschreibt die Einrichtung von Logcheck.
Softwarevoraussetzungen: Paketverwaltung | Texteditor | Mailserver
Schwierigkeitsgrad: Mittel
Ausgetestet mit folgenden Betriebssystemen: Ubuntu | Debian
Installation
Man installiert das Paket logcheck
mittels
user@server:~$ sudo apt-get install logcheck
Konfiguration
Hierfür bearbeitet man die /etc/logcheck/logcheck.conf
:
user@server:~$ sudo nano /etc/logcheck/logcheck.conf
…und setzt eine gültige Mailadresse ein (Postfix oder ein anderer MTA/LTP wird benötigt):
SENDMAILTO="root@localhost" # eine Mailadresse des Admins
Zu überwachende Logs
Die zu überprüfenden Logs werden in der /etc/logcheck/logcheck.logfiles
aufgelistet:
user@server:~$ sudo nano /etc/logcheck/logcheck.logfiles
Die von Haus aus aktivierten Logs sind oftmals schon ausreichend.
Beispiel
# these files will be checked by logcheck # This has been tuned towards a default syslog install /var/log/syslog /var/log/auth.log /var/log/mail.log /var/log/clamav/clamav.log
Starten und Testen
Logcheck wird nun jede Stunde ausgeführt. Testen kann man das ganz einfach, indem man den Rechner neu startet, dabei erhält man die Logs des Bootvorgangs. Jede volle Stunde – falls logcheck etwas findet – könnte eine Mail im konfigurierten Postfach eintreffen.
Beispielmail
Eine Beispielmail könnte wie folgt aussehen:
This email is sent by logcheck. If you no longer wish to receive such mails, you can either deinstall the logcheck package or modify its configuration file (/etc/logcheck/logcheck.conf). System Events =-=-=-=-=-=-= Mar 27 03:12:43 littlehost kernel: [43892.521935] lo: Disabled Privacy Extensions Mar 27 04:00:01 littlehost acpid: exiting Mar 27 04:00:01 littlehost init: tty4 main process (945) killed by TERM signal Mar 27 04:00:01 littlehost init: tty5 main process (948) killed by TERM signal Mar 27 04:00:01 littlehost init: tty2 main process (965) killed by TERM signal Mar 27 04:00:01 littlehost init: tty6 main process (972) killed by TERM signal