Cómo instalar y configurar Logwatch en linux

Si no está revisando sus archivos de registro diariamente, corre el riesgo de perder información crucial del sistema. Aquí se explica cómo facilitar esta tarea en Linux, con Logwatch

Cualquier buen administrador de sistemas le dirá que uno de los mejores lugares para comenzar a solucionar problemas es en los archivos de registro. Esto es cierto para problemas cotidianos del sistema o, lo que es más importante, problemas de seguridad. En los sistemas Linux, estos registros se encuentran en / var / log y se pueden ver con un terminal y cualquier número de comandos (menos y cat, por ejemplo). Eso, por supuesto, significa que necesitaría abrir una terminal, cambiar al directorio / var / log y ver los archivos de registro de uno en uno. ¿Qué pasaría si pudiera hacer uso de una sola aplicación que supervisaría ese directorio de registro y crearía un resumen agregado de entradas que podría analizar fácilmente? Un archivo, muchos registros.

Ahí es donde entra en juego Logwatch. Con esta herramienta simple, los registros se clasifican por servicios que se ejecutan en un sistema Linux. Puede configurar qué registros desea incluir en el agregado e incluso crear análisis personalizados para satisfacer necesidades especiales.

Quiero guiarlo a través del proceso de instalación, configuración y uso de Logwatch. Estaré demostrando en Ubuntu Server 16.04 y Debian 9.

Instalación

Dado que Logwatch se encuentra en los repositorios estándar, puede instalar la herramienta desde la línea de comandos en casi cualquier distribución. Simplemente modifique el comando a continuación para cumplir con el administrador de paquetes de su distribución particular.

Para instalar en Ubuntu, abra una terminal y emita el comando:

sudo apt-get install logwatch

Debian:

 apt-get install logwatch

Centos/fedora

 yum install logwatch

Dependiendo de su configuración actual, es posible que se le solicite que configure Postfix durante la instalación.

La razón por la que necesita configurar Postfix es por la entrega del correo electrónico de Logwatch. Según cómo desee que se entregue ese correo electrónico, deberá seleccionar una de las opciones disponibles. Si opta por ir solo con Local, puede instalar mailutils (sudo apt install mailutils) y luego buscar correo con el comando sudo mail.

Una vez que se completa la instalación, está listo para configurar.

Configuración

Toda la configuración de Logwatch se maneja en un solo archivo. Abra una terminal y emita el comando sudo

 nano /usr/share/logwatch/default.conf/logwatch.conf

La primera opción a configurar es dirigir Logwatch a dónde enviar el correo electrónico. La opción que está buscando es MailTo =. La forma en que configure esto dependerá de cómo configuró el servicio. Si configuró Logwatch para entrega solo local, querrá configurar MailTo = para el usuario que desea leer el correo electrónico. Si configura Logwatch para Internet o Internet con Smarthost, querrá establecer esa opción en la dirección de correo electrónico necesaria que necesita para ver el resumen de Logwatch

Desplácese hacia abajo un poco más, a la opción MailFrom =. Si está utilizando Logwatch con Internet o con Smarthost, debe configurarlo en una dirección de correo electrónico legítima (de lo contrario, podría tener problemas con la entrega remota).

La siguiente opción es Range  =. Esto le permite configurar el resumen del correo electrónico con las siguientes opciones:

  • All: desde que se instaló Logwatch.
  • Today : los registros de hoy.
  • Yesterday – los registros de ayer.
  • Por defecto, el rango está configurado para ayer.

Desplácese hacia abajo solo unas pocas líneas más para configurar la opción Detalle. Esto determinará qué tan detallados son sus registros. Si necesita más información, configure Detail = High. Para una cantidad moderada de información, configure Detail = Med. Para obtener menos información (el valor predeterminado), deje Detail = Bajo.

La siguiente opción es Service=. Con esto, puede configurarlo para Todos los servicios o enumerarlos individualmente. Por lo tanto, puede utilizar el valor predeterminado ( Service = All) o algo como:

Service = http
Service = sshd
Service = sudo

Si no está seguro acerca de esta opción, déjela en Todo y luego configúrela según sea necesario.

Uso

Ahora que ha configurado Logwatch, comenzará a enviar el resumen a diario. También puede ejecutar la herramienta manualmente, así:

 logwatch --detail Med --mailto ADDRESS --service all --range today

Donde ADDRESS es una dirección de correo electrónico remota o un usuario local. Se enviará el informe y luego podrá revisar los detalles

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *