Entre otras actividades que debe hacer a diario un Administrador de Servidores Linux (SysAdmin) es realizar un análisis de los archivos de registro de eventos (logs) de las aplicaciones principales.
LogWatch es un servicio de monitorización y detección de intrusiones basado en el análisis de los archivos de registro de eventos (logs) del sistema que suelen estar localizados en /var/log/. Con una frecuencia determinada (se suele ejecutar cada noche) analiza los logs del sistema y realiza un reporte que es enviado de inmediato al administrador vía correo electrónico.
LogWatch es bastante útil para saber que ha estado haciendo el servidor cada día sin tener que leerse decenas de logs ya que proporciona un resumen de cada servicio del sistema, tales como los paquetes instalados, emails enviados por el servidor, errores de autenticación, estadísticas de apache, espacio en disco, información sobre posibles ataques, etc.
Para realizar la instalación de LogWatch en CentOs debe seguir el siguiente procedimiento.
1. Actualizar paquetes del sistema:
# yum update -y
2. Instalar LogWatch:
# yum install logwatch -y
3. LogWatch requiere un MTA (Agente de Correo) para enviar los reportes vía E-mail, para esto puede instalar Postfix:
# yum install postfix -y
¨
4. A continuación es necesario configurar LogWatch para indicarle a que correo electrónico desean enviarse los reportes, para esto debe editarse el archivo:
4. A continuación es necesario configurar LogWatch para indicarle a que correo electrónico desean enviarse los reportes, para esto debe editarse el archivo:
/usr/share/logwatch/default.conf/logwatch.conf
Modificando las siguientes líneas:
MailTo = webmaster@midominio.com
MailFrom = logwatch@midominio.com
MailFrom = logwatch@midominio.com
5. En este punto puede realizar una prueba de operación:
# logwatch
6. Finalmente, configure la ejecución de manera automática para que se realice la verificación a diario, en este caso a las 11:59 P.M. todos los días:
# m h dom mon dow command
59 23 * * * /usr/sbin/logwatch
59 23 * * * /usr/sbin/logwatch
Otras lineas que nos interesan son:
output = define el tipo de formato que tendrá el reporte (html, texto, mail) detail = define la cantidad de detalle que se presentara por cada serviciosave = define la ubicación del archivo de reporte Range = define el intervalo de días que se usaran para construir el reporte (today/yesterday/all) Service = define que servicios serán procesados por LogwatchEn este punto debemos definir como veremos nuestros reportes
Si preferimos recibir un correo, modificamos las lineas:
Con esto ya estaremos recibiendo un correo con el análisis de logsdel día anterior. Por defecto logwatch solo será capaz de procesar pocosservicios, puesto que desconoce la ruta a los logs del sistema.
Para arreglar esto, habilitamos los siguientes servicios editando la ruta deacceso al log:
|
nano /usr/share/logwatch/default.conf/logfiles/http.conf#agregamos estas dos lineasLogFile = /usr/local/apache/logs/access_logLogFile = /usr/local/cpanel/logs/access_log#modificamos esta linea: #*ApplyhttpDate quitando el # para que respete el rango de fechas |
Servicio Pure-ftpd
nano /usr/share/logwatch/default.conf/logfiles/pureftpd.conf
#agregamos está linea
LogFile = messages
Notas:
Es recomendable mantener deshabilitado el servicio eximstats, iptables;
ya que estos generan un reporte muy abultado. Estos además pueden
ser consultados en cPanel/WHM
nano /usr/share/logwatch/default.conf/logwatch.conf
Service ="-eximstats"
Service ="-iptables"
Comentarios
Publicar un comentario