CentOS: установка и настройка LogWatch

Автор: | 24/10/2014
 

centos-logo-new-4Во FreeBSD каждый день присылались отчёты о стоянии системы – занятое место на дисках, ошибки аутентификации и много других полезностей. Уже не помню, какой там сервис этим занимался (“искаропки”), но в CentOS этой информации очень не хватает.

Для исправления положения – используем LogWatch.

Установка выполняется на:

# cat /etc/redhat-release
CentOS release 6.5 (Final)

Устанавливаем пакет:

# yum -y install logwatch

LogWatch умеет работать с очень многими службами, посмотреть все можно в каталоге:

# ls -la /usr/share/logwatch/scripts/services/ | head
total 1192
drwxr-xr-x 2 root root   4096 Oct 23 11:13 .
drwxr-xr-x 5 root root   4096 Oct 23 11:13 ..
-rw-r--r-- 1 root root   1570 Sep 10  2013 afpd
-rw-r--r-- 1 root root  65224 Sep 10  2013 amavis
-rw-r--r-- 1 root root    586 Sep 10  2013 arpwatch
-rw-r--r-- 1 root root   9361 Sep 10  2013 audit
-rw-r--r-- 1 root root   4281 Sep 10  2013 automount
-rw-r--r-- 1 root root   1696 Sep 10  2013 autorpm
-rw-r--r-- 1 root root   1160 Sep 10  2013 bfd

Создаём файл настроек:

# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf

Редактируем его.

На что стоит обратить внимание:

LogDir – директория лог-файлов;
MailTo – кому отправлять письма, можно указать почтовый ящик или пользователя;
Print – на время настройки можно включить в Yes, тогда репорт будет выводиться на stdout вместо письма;
Range – за какое время высылать уведомеления, можно указать All – вся имеющаяся информация, yesterday – за вчера, today – за сегодня;
Detail – детализация уведомлений, может быть Low, Med, High;
Service – сервисы, которые необходимо включать в отчёт, может быть All (все из каталога /usr/share/logwatch/scripts/services/ и логи которых найдутся в LogDir), или перечислены по одной в строке, например: Service = exim, указанные же со знаком минус (-) – наоборот, исключают сервис из отчёта, например Service = "-zz-network";

Сохраняем, выходим, и выполняет тестовый запуск:

# logwatch --detail Low --mailto root --service exim --range today

Все опции можно посмотреть так:

# logwatch ---help
Unknown option: -help

Usage: /usr/sbin/logwatch [--detail <level>] [--logfile <name>]
   [--print] [--mailto <addr>] [--archives] [--range <range>] [--debug <level>]
   [--save <filename>] [--help] [--version] [--service <name>]
   [--numeric] [--output <output_type>]
   [--splithosts] [--multiemail] [--no-oldfiles-log]

--detail <level>: Report Detail Level - High, Med, Low or any #.
--logfile <name>: *Name of a logfile definition to report on.
--logdir <name>: Name of default directory where logs are stored.
--service <name>: *Name of a service definition to report on.
--print: Display report to stdout.
--mailto <addr>: Mail report to <addr>.
--archives: Use archived log files too.
--save <filename>: Save to <filename>.
--range <range>: Date range: Yesterday, Today, All, Help
                             where help will describe additional options
--numeric: Display addresses numerically rather than symbolically and numerically
           (saves  a  nameserver address-to-name lookup).
--debug <level>: Debug Level - High, Med, Low or any #.
--splithosts: Create a report for each host in syslog.
--multiemail: Send each host report in a separate email.  Ignored if
              not using --splithosts.
--output <output type>: Report Format - mail, html or unformatted#.
--encode: Use base64 encoding on output mail.
--no-oldfiles-log: Suppress the logwatch log, which informs about the
                   old files in logwatch tmpdir.
--version: Displays current version.
--help: This message.
* = Switch can be specified multiple times...

Проверяем почту:

# cat /var/vmail/domain.org.ua/[email protected]/cur/1414052989.M201345P9550.venti.domain.org.ua,S=23434,W=23711:2,a
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Thu, 23 Oct 2014 11:32:16 +0300
Received: from root by mx0.domain.org.ua with local (Exim 4.72)
        (envelope-from <[email protected]>)
        id 1XhDoe-0002Ug-RN
        for [email protected]; Thu, 23 Oct 2014 11:32:16 +0300
Date: Thu, 23 Oct 2014 11:32:16 +0300
Message-Id: <[email protected]>
To: [email protected]
From: [email protected]
Subject: Logwatch for venti.domain.org.ua (Linux)
MIME-Version: 1.0
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset="iso-8859-1"


 ################### Logwatch 7.3.6 (05/19/07) ####################
        Processing Initiated: Thu Oct 23 11:32:16 2014
        Date Range Processed: today
                              ( 2014-Oct-23 )
                              Period is day.
      Detail Level of Output: 0
              Type of Output: unformatted
           Logfiles for Host: venti.domain.org.ua
  ##################################################################

 --------------------- EXIM Begin ------------------------

 --- Refused Relays 37 times

 --- Bad Hosts ---
   SMTP Syntax errors 2 times
   SMTP Timeout errors 1 times
   Sudden disconnect while expecting remote input 30 times

 --- Failed Reverse Lookups
 --- 21  Time(s)


 **Unmatched Entries**
 2014-10-23 04:06:08 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 3 Time(s)
 2014-10-23 04:06:13 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)
 2014-10-23 04:06:24 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)
 2014-10-23 04:06:32 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 2 Time(s)
 2014-10-23 04:06:43 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)
 2014-10-23 04:06:48 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)
 2014-10-23 04:06:53 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)
 2014-10-23 04:06:59 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)
 2014-10-23 04:07:04 auth_plain authenticator failed for port-87-234-46-30.static.qsc.de (ylmf-pc) [87.234.46.30] I=[77.***.***.20]:25: 535 Incorrect authentication data (set_id=test): 1 Time(s)

 ---------------------- EXIM End -------------------------


 ###################### Logwatch End #########################

При включении Detail = High – информации будет на порядок больше.

Полезно почитать – файл /usr/share/doc/logwatch-7.3.6/HOWTO-Customize-LogWatch.