Enviado por admin el
LogWatch siempre me ha parecido una herramienta muy cómoda y efectiva para enterarme de lo que está pasando en mis servidores. El programa funciona de la siguiente manera:
-
cada día se ejecuta un trabajo programado (CronJob) para generar el reporte /etc/cron.daily/0logwatch
-
el tipo de reporte, como se guardará y otras opciones dependerá de la configuración del archivo /usr/share/logwatch/default.conf/logwatch.conf. En mi caso los reportes se envían a mi correo electrónico en formato texto
-
La configuración del los programasa cuyos LOG se analizarán para el reporte depende de la configuración de dos archivos para cada programa; uno presente en la carpeta /usr/share/logwatch/default.conf/logfiles y otro presente en la carpeta /usr/share/logwatch/default.conf/services
Tomamos como ejemplo Fail2ban:
el archivo logfiles contiene:
*ApplyEuroDate
LogFile = fail2ban.log
Archive = fail2ban.log.1
Archive = fail2ban.log.*.gz
Archive = fail2ban.log-*
fail2ban.log será el archivo de LOG de Fail2ban que LogWatch buscará para realizar su análisis y generar el reporte; el archivo de services:
el titulo como aparecerá en el reporte:
Title = fail2ban-messages
los archivos logfiles, presentes en la carpeta /usr/share/logwatch/default.conf/logfiles, que se utilizarán:
LogFile = fail2ban
LogFile = messages
una expresión regular, en este caso, para seleccionar solamente lo que realmente interesa:
*OnlyContains = fail2ban([^-]|).*\[[0-9]+\]
Claramente el contenido del archivo de services cambia mucho dependiendo del programa que se va a analizar pero lo importante es saber donde buscar la información.
Ahora, como Fail2ban me generaba mucha información que la verdad no me interesaba porque tengo otra forma de enterarme de lo que pasa con bloqueo y desbloqueo de IPs, he decidido quitarlo de los reportes de LogWatch.
Estoy seguro que hay una forma más elegante de hacerlo pero en mi caso:
cd /usr/share/logwatch/default.conf/
mv logfiles/fail2ban.conf //usr/share/logwatch/fail2ban.conf-logfiles
mv services/fail2ban.conf //usr/share/logwatch/fail2ban.conf-services
Si queremos probar el programa sin esperar que se ejecute el CronJob:
/etc/cron.daily/0logwatch
El resultado:
Una linea indica cuando termina el Reporte de un determinado programa y cuando inicia el Reporte de otro. Para terminar:
Para instalarlo:
dnf install logwatch -y
Me comentan
1 comentario
La forma más elegante
Enviado por admin el
La forma más elegante de eliminar un servicio del reporte diario de logwatch es:
nano /usr/share/logwatch/default.conf/logwatch.conf
después de esta linea:
Service = All
se añade (en el caso de fail2ban):
Service = "-fail2ban"
Se guardan los cambios y listo.