Logwatch: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
=Prinzip von Logwatch=
+
Hier ist eine klare, einfache und vollständige Erklärung zu '''Logwatch''' im MediaWiki-Format, mit Fokus auf das Wesentliche und darauf, was genau wie ausgewertet wird:
*'''Logwatch''' ist ein Log-Analyse-Tool, das System- und Anwendungsprotokolle automatisch auswertet.
 
*Es generiert '''tägliche Berichte''', die per E-Mail oder in einer Datei gespeichert werden.
 
*Es kann verschiedene '''Log-Quellen''' wie Syslog, Journalctl und Anwendungslogs auswerten.
 
*Die Berichte enthalten eine Zusammenfassung von sicherheitsrelevanten Ereignissen, Fehlern und Systemaktivitäten.
 
  
=Installation von Logwatch=
+
==== Was ist Logwatch? ====
==Debian/Ubuntu==
+
Logwatch ist ein Logfile-Analyse-Tool, das automatisch Systemprotokolle (Logs) auswertet und daraus einen übersichtlichen Bericht erzeugt.
*'''sudo apt update'''
 
*'''sudo apt install logwatch'''
 
  
==Red Hat/CentOS/Rocky Linux==
+
==== Welche Logs werden ausgewertet? ====
*'''sudo dnf install logwatch'''
+
Standardmäßig analysiert Logwatch folgende Protokolle:
  
=Konfiguration von Logwatch=
+
;Systemprotokolle
*Die Hauptkonfigurationsdatei befindet sich unter:
+
* '''auth.log''' – Anmeldungen, fehlerhafte Logins, sudo-Zugriffe
**'''/etc/logwatch/conf/logwatch.conf'''
+
* '''syslog''' – Allgemeine Systemmeldungen, Fehler, Warnungen
*Wichtige Konfigurationsoptionen:
+
* '''kern.log''' – Kernelmeldungen, Hardwareprobleme, Fehler bei Geräten
**'''Output = stdout''' (Anzeige im Terminal)
+
* '''daemon.log''' – Meldungen von Diensten wie SSH, Cron, Postfix, etc.
**'''Output = mail''' (Versand per E-Mail)
 
**'''Format = text''' (Textformat)
 
**'''Detail = Low | Medium | High''' (Detailstufe der Berichte)
 
  
=Beispiel: Logwatch-Bericht=
+
;Anwendungsprotokolle (falls installiert)
*Ein typischer Logwatch-Bericht sieht folgendermaßen aus:
+
* '''Apache''' – Zugriffe, Fehler, Attacken
<pre>
+
* '''Postfix''' – E-Mail-Versand, Empfang, Spam-Warnungen
################### Logwatch  ####################
+
* '''SSH''' – Zugriffe, fehlgeschlagene Anmeldeversuche
  Processing Initiated: Sun Mar 10 06:25:01 2024
+
* '''Cron''' – Ausführung und Fehler von Cronjobs
  Detail Level: Medium
+
* '''Fail2Ban''' – IP-Blockaden, Sicherheitswarnungen
  =================================================
+
* '''MySQL/MariaDB''' – Fehler und Warnungen in der Datenbank
  ---- System Summary ----
 
  Number of logins: 10
 
  Failed login attempts: 2
 
  Disk usage:
 
    /dev/sda1: 40% used
 
  ---- SSHD Summary ----
 
  Failed SSH logins:
 
    192.168.1.100 (2 attempts)
 
  Successful SSH logins:
 
    user1 from 192.168.1.50
 
  ---- Apache Summary ----
 
  Total Accesses: 1450
 
  Errors: 10
 
</pre>
 
*Dieser Bericht enthält Informationen zu:
 
**Anmeldeversuchen
 
**Speicherauslastung
 
**SSH-Verbindungen
 
**Apache-Fehlern
 
  
=Manuelle Ausführung von Logwatch=
+
==== Wie wird ausgewertet? ====
*'''sudo logwatch --detail High --output stdout'''
+
Logwatch wertet die Logs '''regelmäßig''' (standardmäßig täglich) per Cronjob aus. Es sucht nach:
*Zeigt einen detaillierten Bericht direkt im Terminal an.
 
*'''sudo logwatch --range yesterday --detail Medium'''
 
*Zeigt die Log-Analyse des Vortages an.
 
*'''sudo logwatch --service sshd --detail High'''
 
*Zeigt nur die Logs für den SSH-Dienst an.
 
  
=E-Mail-Versand einrichten=
+
;Wichtigen Ereignissen
*In der Datei '''/etc/logwatch/conf/logwatch.conf''' kann die E-Mail-Adresse konfiguriert werden:
+
* Kritischen Fehlern (CRITICAL)
**'''MailTo = admin@example.com'''
+
* Fehlgeschlagenen Anmeldungen (Login Failures)
**'''MailFrom = logwatch@server.local'''
+
* Sicherheitsrelevanten Warnungen (SECURITY)
*Logwatch sendet den Bericht dann täglich an die angegebene Adresse.
+
* Abweichungen im normalen Betrieb (z.B. ungewöhnlich viele Zugriffe)
  
=Fazit=
+
;Gruppierung und Zusammenfassung
*Logwatch ist ein einfaches, aber effektives Tool zur automatisierten Log-Analyse.
+
* Häufig wiederkehrende Meldungen werden '''zusammengefasst''' dargestellt, um den Bericht übersichtlich zu halten.
*Es hilft, sicherheitsrelevante Ereignisse und Systemfehler schnell zu erkennen.
+
* Einzelne Meldungen werden nach '''Typ und Dienst''' (z.B. SSH, Cron, Apache) sortiert.
*Für erweiterte Anforderungen bieten moderne SIEM-Lösungen wie Wazuh oder ELK umfangreichere Analysefunktionen.
+
 
 +
==== Berichtsausgabe ====
 +
Logwatch fasst alle relevanten Einträge in einem Bericht zusammen, der entweder:
 +
 
 +
* Per Mail versendet wird (Standard)
 +
* Auf der Konsole ausgegeben wird
 +
 
 +
Die Detailtiefe kannst du selbst bestimmen:
 +
* '''Low''' – Nur kritische und wichtige Meldungen (Standard)
 +
* '''Med''' – Erweiterte Meldungen und Warnungen
 +
* '''High''' – Ausführliche Detailmeldungen (für Troubleshooting)
 +
 
 +
==== Wichtige Optionen in logwatch.conf ====
 +
Die Hauptkonfiguration erfolgt in '''/usr/share/logwatch/default.conf/logwatch.conf'''. 
 +
Änderungen sollten immer in '''/etc/logwatch/conf/logwatch.conf''' vorgenommen werden.
 +
 
 +
;Wichtige Parameter:
 +
* '''MailTo = admin@beispiel.de''' – Wohin der Bericht gesendet wird.
 +
* '''Detail = Low|Med|High''' – Wie detailliert der Bericht ausfällt.
 +
* '''Range = yesterday|today|All''' – Welcher Zeitraum ausgewertet wird.
 +
* '''Output = mail|stdout''' – Wie die Ausgabe erfolgen soll.
 +
* '''Format = html|text''' – Ausgabeformat des Berichts.
 +
 
 +
==== Eigene Logs einbinden ====
 +
Um eigene Logs auszuwerten, kannst du in:
 +
 
 +
'''/etc/logwatch/conf/services/'''
 +
 
 +
eigene Konfigurationsdateien hinterlegen. Beispiel:
 +
 
 +
Datei: /etc/logwatch/conf/services/meinlog.conf
 +
Title = "Mein Dienst"
 +
LogFile = /var/log/meindienst.log
 +
 
 +
==== Automatische Ausführung ====
 +
Logwatch läuft standardmäßig einmal täglich über Cron. Du musst keine zusätzlichen Schritte vornehmen.
 +
 
 +
==== Manueller Test ====
 +
So kannst du sofort sehen, was Logwatch macht:
 +
 
 +
Ausgabe auf der Konsole:
 +
'''logwatch --output stdout --detail High'''
 +
 
 +
Ausgabe per Mail testen:
 +
'''logwatch --mailto admin@beispiel.de --detail Med'''
 +
 
 +
==== Fazit ====
 +
Logwatch reduziert das tägliche Lesen einzelner Logs deutlich und hebt automatisch kritische Ereignisse hervor. Dadurch sparst du Zeit bei der Fehler- und Sicherheitsüberwachung deines Systems.

Version vom 21. März 2025, 05:20 Uhr

Hier ist eine klare, einfache und vollständige Erklärung zu Logwatch im MediaWiki-Format, mit Fokus auf das Wesentliche und darauf, was genau wie ausgewertet wird:

Was ist Logwatch?

Logwatch ist ein Logfile-Analyse-Tool, das automatisch Systemprotokolle (Logs) auswertet und daraus einen übersichtlichen Bericht erzeugt.

Welche Logs werden ausgewertet?

Standardmäßig analysiert Logwatch folgende Protokolle:

Systemprotokolle
  • auth.log – Anmeldungen, fehlerhafte Logins, sudo-Zugriffe
  • syslog – Allgemeine Systemmeldungen, Fehler, Warnungen
  • kern.log – Kernelmeldungen, Hardwareprobleme, Fehler bei Geräten
  • daemon.log – Meldungen von Diensten wie SSH, Cron, Postfix, etc.
Anwendungsprotokolle (falls installiert)
  • Apache – Zugriffe, Fehler, Attacken
  • Postfix – E-Mail-Versand, Empfang, Spam-Warnungen
  • SSH – Zugriffe, fehlgeschlagene Anmeldeversuche
  • Cron – Ausführung und Fehler von Cronjobs
  • Fail2Ban – IP-Blockaden, Sicherheitswarnungen
  • MySQL/MariaDB – Fehler und Warnungen in der Datenbank

Wie wird ausgewertet?

Logwatch wertet die Logs regelmäßig (standardmäßig täglich) per Cronjob aus. Es sucht nach:

Wichtigen Ereignissen
  • Kritischen Fehlern (CRITICAL)
  • Fehlgeschlagenen Anmeldungen (Login Failures)
  • Sicherheitsrelevanten Warnungen (SECURITY)
  • Abweichungen im normalen Betrieb (z.B. ungewöhnlich viele Zugriffe)
Gruppierung und Zusammenfassung
  • Häufig wiederkehrende Meldungen werden zusammengefasst dargestellt, um den Bericht übersichtlich zu halten.
  • Einzelne Meldungen werden nach Typ und Dienst (z.B. SSH, Cron, Apache) sortiert.

Berichtsausgabe

Logwatch fasst alle relevanten Einträge in einem Bericht zusammen, der entweder:

  • Per Mail versendet wird (Standard)
  • Auf der Konsole ausgegeben wird

Die Detailtiefe kannst du selbst bestimmen:

  • Low – Nur kritische und wichtige Meldungen (Standard)
  • Med – Erweiterte Meldungen und Warnungen
  • High – Ausführliche Detailmeldungen (für Troubleshooting)

Wichtige Optionen in logwatch.conf

Die Hauptkonfiguration erfolgt in /usr/share/logwatch/default.conf/logwatch.conf. Änderungen sollten immer in /etc/logwatch/conf/logwatch.conf vorgenommen werden.

Wichtige Parameter
  • MailTo = admin@beispiel.de – Wohin der Bericht gesendet wird.
  • Detail = Low|Med|High – Wie detailliert der Bericht ausfällt.
  • Range = yesterday|today|All – Welcher Zeitraum ausgewertet wird.
  • Output = mail|stdout – Wie die Ausgabe erfolgen soll.
  • Format = html|text – Ausgabeformat des Berichts.

Eigene Logs einbinden

Um eigene Logs auszuwerten, kannst du in: 

/etc/logwatch/conf/services/

eigene Konfigurationsdateien hinterlegen. Beispiel: 

Datei: /etc/logwatch/conf/services/meinlog.conf
Title = "Mein Dienst"
LogFile = /var/log/meindienst.log

Automatische Ausführung

Logwatch läuft standardmäßig einmal täglich über Cron. Du musst keine zusätzlichen Schritte vornehmen.

Manueller Test

So kannst du sofort sehen, was Logwatch macht: 

Ausgabe auf der Konsole:
logwatch --output stdout --detail High

Ausgabe per Mail testen:
logwatch --mailto admin@beispiel.de --detail Med

Fazit

Logwatch reduziert das tägliche Lesen einzelner Logs deutlich und hebt automatisch kritische Ereignisse hervor. Dadurch sparst du Zeit bei der Fehler- und Sicherheitsüberwachung deines Systems.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Logwatch&oldid=60548