Nei server Linux che amministro ho recentemente installato un programma di monitoring dei logs: logwatch. Una questione importante ma abbastanza noiosa e per cui non si ha mai molto tempo è - appunto - quella dell’analisi dei log, una sorta di “diario” dell’attività svolta dal sistema. Spesso si ricerca nei logs solo quando insorge un problema: la proattività di logwatch, invece, ci permette di avere una sintesi di ciò che è successo e che merita la nostra attenzione direttamente via email.
Assicuratevi di avere un MTA installato e configurato a dovere [consiglio: postfix o qmail]. Una volta installato, logwatch invia una mail a root@localhost ogni giorno. Modifichiamo quindi l’indirizzo a cui root farà il forward di tutta la posta: % cat /etc/aliases postmaster: root root: michele@bologna.com
Modifichiamo la schedulazione dell’esecuzione di logwatch da giornaliero a mensile [da cron.daily a cron.weekly]: mv /etc/cron.daily/*logwatch /etc/cron.weekly Ed infine specifichiamo a logwatch di analizzare i log relativi agli ultimi 7 giorni e il formato da usare (HTML): cp /usr/share/logwatch/default.conf /etc/logwatch/conf/logwatch.conf Nel file di conf cambiate:
Format = htmlRange = between -7 days and -1 days
Ecco l’esempio di una mail ricevuta da logwatch:
Come potete vedere ci sono informazioni molto interessanti, come: * i pacchetti installati/aggiornati tramite dpkg * gli accessi tramite ssh * gli utilizzatori di sudo * lo spazio disco utilizzato e altre informazioni sicuramente utili sullo stato della macchina in questione.
logwatch è entrato nella dotazione software standard che installo su tutte le macchine Linux che amministro.