Apache2のログ監視はanalogをインストールし既に行ってました。
また、サーバーの各ステータスもMrtg+RRDTOOLで監視を行っていました。
そこで今回はsyslogなどの実際のログを監視して自動でメールを送信してくれるlogwatchをいうアプリをインストールします。
※このアプリを動かすためにはmailutils、exim4などのメール送信に必用なパッケージをインストールしmailコマンドでメール送信が出来るように設定する必要があります。
まずインストールですがこれは非常に簡単です。
apt-get install logwatch
インストールされたらlogwatchの設定を変更します。
vi /usr/share/logwatch/default.conf/logwatch.conf
変更点は以下の点になります。
変更前:MailTo = root
変更後:MailTo = your_address@your_host.com
↑送信したいメールアドレスに書き換えます。(mailコマンドで送信できるアドレスであることが前提)
変更前:#Archives = No
変更後:Archives = Yes
↑logがlotateされた場合を想定
変更前:Detail = Low
変更後:Detail = Med
↑好みのログレベルに設定してください。(文字列ではなく数値で指定も可能です)
設定が完了したらテストで実行してみましょう。
/usr/sbin/logwatch
実際に設定したアドレスにメールが送信されてくれば設定は完了です。
ちなみにcronにはインストール時に自動で登録されています。
(1日1回自動実行されてメールが送られてきます)
debianでのcronへの自動登録はdailyに登録されるのでAM6:25に実行されます。
時間などを変更したい場合はcron.dailyから削除しcrontabに自分で登録してください。
送られてくる内容で注意すべきなのは
pam_unix、SSHD、Disk Space、kernelの項目でしょうか。(kernelはエラー出ないと送られてこないようです)
pam_unixはLinuxのpam認証を表示しています。
SSHDはその名の通りsshへの接続を示しています。
許可していないユーザーでのログインがあれば不正アクセスの可能性もありますので注意が必要です。
Disk Spaceは一杯になる前にどうにかしましょう(笑)
kernel項目に関しては出力されていれば解析、調査が必要ですね。
最後に
logwatchを導入すると毎日定期でlogの結果が送信されてきます。
誰しも最初は注意深く見るのですが平和な日々が続きますと次第に見なくなったり軽く読み飛ばしたりするようになりがちです。
しかし、それではlogwatchを導入した意味は全くありません。
mrtgの様にグラフでの傾向は示してくれませんが毎日logに目を通すことで障害を未然に防げたり
発生した障害による被害を広げないことも可能になります。
このツールの本当の真価はlogをチェックする人の対応力に尽きると思います。
また、サーバーの各ステータスもMrtg+RRDTOOLで監視を行っていました。
そこで今回はsyslogなどの実際のログを監視して自動でメールを送信してくれるlogwatchをいうアプリをインストールします。
※このアプリを動かすためにはmailutils、exim4などのメール送信に必用なパッケージをインストールしmailコマンドでメール送信が出来るように設定する必要があります。
まずインストールですがこれは非常に簡単です。
apt-get install logwatch
インストールされたらlogwatchの設定を変更します。
vi /usr/share/logwatch/default.conf/logwatch.conf
変更点は以下の点になります。
変更前:MailTo = root
変更後:MailTo = your_address@your_host.com
↑送信したいメールアドレスに書き換えます。(mailコマンドで送信できるアドレスであることが前提)
変更前:#Archives = No
変更後:Archives = Yes
↑logがlotateされた場合を想定
変更前:Detail = Low
変更後:Detail = Med
↑好みのログレベルに設定してください。(文字列ではなく数値で指定も可能です)
設定が完了したらテストで実行してみましょう。
/usr/sbin/logwatch
実際に設定したアドレスにメールが送信されてくれば設定は完了です。
ちなみにcronにはインストール時に自動で登録されています。
(1日1回自動実行されてメールが送られてきます)
debianでのcronへの自動登録はdailyに登録されるのでAM6:25に実行されます。
時間などを変更したい場合はcron.dailyから削除しcrontabに自分で登録してください。
送られてくる内容で注意すべきなのは
pam_unix、SSHD、Disk Space、kernelの項目でしょうか。(kernelはエラー出ないと送られてこないようです)
pam_unixはLinuxのpam認証を表示しています。
SSHDはその名の通りsshへの接続を示しています。
許可していないユーザーでのログインがあれば不正アクセスの可能性もありますので注意が必要です。
Disk Spaceは一杯になる前にどうにかしましょう(笑)
kernel項目に関しては出力されていれば解析、調査が必要ですね。
最後に
logwatchを導入すると毎日定期でlogの結果が送信されてきます。
誰しも最初は注意深く見るのですが平和な日々が続きますと次第に見なくなったり軽く読み飛ばしたりするようになりがちです。
しかし、それではlogwatchを導入した意味は全くありません。
mrtgの様にグラフでの傾向は示してくれませんが毎日logに目を通すことで障害を未然に防げたり
発生した障害による被害を広げないことも可能になります。
このツールの本当の真価はlogをチェックする人の対応力に尽きると思います。
2008,04,10 Thu 15:50
久々にLinuxネタを。
logwatchが出力するログを見ててlastlogがずっと以下のエラーを出してるのは気になってました(笑)
lastlog_openseek: /var/log/lastlog is not a file or directory!
lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
そもそも/var/log/lastlogがない状況で出すものすらないと・・・
当然ですがコマンドでlastlogを実行してもエラーが出ますし
ログインしても最後の接続時間は出ていない状況でした。
pamの設定を見てみるがちゃんとsession option pam_lastlog.soは記述されてるし
sshd_configもちゃんとUsePAM yesになってるんですよね。
この様な理由からsshでログインした時におかしいのではなく
そもそもPAMのログインに時にlastlogが記録されていないと推測しました。
色々と調べてみると/var/log/lastlogはちゃんと作ってあげないと動かないらしいです(汗)
#touch /var/log/lastlog
で、とりあえず/var/log/lastlogを作ってみたらちゃんと動きました。
/var/log/lastlogなかったら作るくらいしてくれればいいのに・・・
ということで今更ですがlastlogが正常に動くようになりました。
SSHでのログイン時も最後のログイン情報が出力されるようになりました。
(SSHでのログイン時にlastlogを出すかはSSHの設定によります)
logwatchが出力するログを見ててlastlogがずっと以下のエラーを出してるのは気になってました(笑)
lastlog_openseek: /var/log/lastlog is not a file or directory!
lastlog_filetype: Couldn't stat /var/log/lastlog: No such file or directory
そもそも/var/log/lastlogがない状況で出すものすらないと・・・
当然ですがコマンドでlastlogを実行してもエラーが出ますし
ログインしても最後の接続時間は出ていない状況でした。
pamの設定を見てみるがちゃんとsession option pam_lastlog.soは記述されてるし
sshd_configもちゃんとUsePAM yesになってるんですよね。
この様な理由からsshでログインした時におかしいのではなく
そもそもPAMのログインに時にlastlogが記録されていないと推測しました。
色々と調べてみると/var/log/lastlogはちゃんと作ってあげないと動かないらしいです(汗)
#touch /var/log/lastlog
で、とりあえず/var/log/lastlogを作ってみたらちゃんと動きました。
/var/log/lastlogなかったら作るくらいしてくれればいいのに・・・
ということで今更ですがlastlogが正常に動くようになりました。
SSHでのログイン時も最後のログイン情報が出力されるようになりました。
(SSHでのログイン時にlastlogを出すかはSSHの設定によります)
2009,03,03 Tue 10:51
