logcheck

指定されたログファイルを監視してあやしい動きがあったらメールを飛ばすとかいうやつ。

設定

  • /etc/logcheck/logcheck.conf

が主設定だけど、ログファイルの指定は

  • /etc/logcheck/logcheck.logfiles

でやるのが正解。

おすすめの設定としては

  • /var/log/kern.log

等は確実に取っておくといい。あとはerrorを集約させた奴とか。auth.logはゴミが多いのでおすすめできないかも。 どうせならfail2banでもいれてそのログ(/var/log/fail2ban.log)などを取得するといい

不要なログをreportしないようにする

/etc/logcheck/ignore.d.serverとかにつっこむ。基本的にはパッケージの名前になっているはずで、それを書き換えたりする。 大抵事たりるけど、たとえばrsyslogはこういうログをkernelログに送りこんで、これが回収されていたりする。

Oct 25 16:21:08 yourhost kernel: imklog 3.18.6, log source = /proc/kmsg started.

適当にこんな感じでいいかな?

/etc/logcheck/ignore.d.server/rsyslog

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: imklog 3.18.6, log source = /proc/kmsg started.

追記: squeezeからrsyslogに関してもlogcheckの設定が放りこまれています。Debian Backportsにもあります。

設定の確認

# sudo -u logcheck logcheck -d -o -t -s

こんなコマンド。-d:デバッグ -o:メールしない -t: テストモード -s: レベルをserverに。

レベルを-pとかにしてparanoiaモードに切り替えてみたりするといいのかもしれん

参考

logcheck.txt · 最終更新: 2012/04/07 10:32 (外部編集)
www.chimeric.de Creative Commons License Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0