Homepage: Logwatch

Logwatch - это модульный анализатор журналов, который запускается каждую ночь и отправляет электронной почтой результаты. Может быть также запущен через командную строку.

У FreeBSD есть хорошая традиция присылать периодические отчеты об изменениях в системе и безопасности, для этих целей можно использовать Logwatch и/или logcheck.

# for Debian, Ubuntu
# aptitude install logwatch
# for RedHat
# yum install logwatch.noarch

Кроме установки дополнительная настройка logwatch не требуется.

Настройки по умолчанию находятся здесь /usr/share/logwatch/default.conf/logwatch.conf

# cp /usr/share/logwatch/dist.conf/logwatch.conf /etc/logwatch/conf/
# nano /etc/logwatch/conf/logwatch.conf
mailer = "/usr/sbin/sendmail -t"
TmpDir = /tmp
MailFrom = root # обратный адрес сервера
Detail = High # уровень детализации вывода
Print = No # ставим YES для вывода в stdout при тестировании, в NO - для отправки отчёта по почте

Service = All #имя сервисов. Для каждого отдельного сервиса должна быть отдельная строка 'service='.
              #Имя сервиса соответствует имени скрипта в /usr/share/logwatch/scripts/services
# отключаем отчет о свободном месте
Service = "-zz-disk_space"

Проверим работу logwatch. Отчет должен сформироваться и прийти на почту.

# /etc/cron.daily/00logwatch

Если имя лог файла отличается от стандартного. Например Правила iptables настроен для протоколирования в файл /var/log/iptables.log Нам нужны исправить имена и/или пути в файле с настройками по умолчанию. Они находятся в /usr/share/logwatch/default.conf/logfiles/

# cp /usr/share/logwatch/default.conf/logfiles/iptables.conf /etc/logwatch/conf/logfiles/
# nano /etc/logwatch/conf/logfiles/iptables.conf

#LogFile = ulogd/ulogd.syslogemu
LogFile = /var/log/iptables.log
#Archive = ulogd/ulogd.syslogemu.*
Archive = /var/log/iptables.*

Тогда через конф-файлы /etc/logwatch/conf/logfiles/ ищем нужный сервис, допустим http и меняем имена логов и их пути.

Настройки фильтрации ненужной информации хранятся в файле ignore.conf