LogWatch: como eliminar reportes de determinados programas – Rocky Linux 8

LogWatch siempre me ha parecido una herramienta muy cómoda y efectiva para enterarme de lo que está pasando en mis servidores. El programa funciona de la siguiente manera:

  • cada día se ejecuta un trabajo programado (CronJob) para generar el reporte /etc/cron.daily/0logwatch

  • el tipo de reporte, como se guardará y otras opciones dependerá de la configuración del archivo /usr/share/logwatch/default.conf/logwatch.conf. En mi caso los reportes se envían a mi correo electrónico en formato texto

  • La configuración del los programasa cuyos LOG se analizarán para el reporte depende de la configuración de dos archivos para cada programa; uno presente en la carpeta /usr/share/logwatch/default.conf/logfiles y otro presente en la carpeta /usr/share/logwatch/default.conf/services

Tomamos como ejemplo Fail2ban:

el archivo logfiles contiene:

*ApplyEuroDate

LogFile = fail2ban.log

Archive = fail2ban.log.1

Archive = fail2ban.log.*.gz

Archive = fail2ban.log-*

fail2ban.log será el archivo de LOG de Fail2ban que LogWatch buscará para realizar su análisis y generar el reporte; el archivo de services:

el titulo como aparecerá en el reporte:

Title = fail2ban-messages

los archivos logfiles, presentes en la carpeta /usr/share/logwatch/default.conf/logfiles, que se utilizarán:

LogFile = fail2ban

LogFile = messages

una expresión regular, en este caso, para seleccionar solamente lo que realmente interesa:

*OnlyContains = fail2ban([^-]|).*\[[0-9]+\]

Claramente el contenido del archivo de services cambia mucho dependiendo del programa que se va a analizar pero lo importante es saber donde buscar la información.

Ahora, como Fail2ban me generaba mucha información que la verdad no me interesaba porque tengo otra forma de enterarme de lo que pasa con bloqueo y desbloqueo de IPs, he decidido quitarlo de los reportes de LogWatch.

Estoy seguro que hay una forma más elegante de hacerlo pero en mi caso:

cd /usr/share/logwatch/default.conf/

mv logfiles/fail2ban.conf //usr/share/logwatch/fail2ban.conf-logfiles

mv services/fail2ban.conf //usr/share/logwatch/fail2ban.conf-services

Si queremos probar el programa sin esperar que se ejecute el CronJob:

/etc/cron.daily/0logwatch

El resultado:


 


Una linea indica cuando termina el Reporte de un determinado programa y cuando inicia el Reporte de otro. Para terminar:


Para instalarlo:

dnf install logwatch -y

Me comentan

Vota el Articulo: 

Sin votos (todavía)
Evalúa la calidad del articulo

1 comentario

La forma más elegante

La forma más elegante de eliminar un servicio del reporte diario de logwatch es:

nano /usr/share/logwatch/default.conf/logwatch.conf

después de esta linea:

Service = All

se añade (en el caso de fail2ban):

Service = "-fail2ban"

Se guardan los cambios y listo.

Suscribirse a Comentarios de "LogWatch: como eliminar reportes de determinados programas – Rocky Linux 8" Suscribirse a VozToVoice - Todos los comentarios