Logwatch: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „=Prinzip von Logwatch= *'''Logwatch''' ist ein Log-Analyse-Tool, das System- und Anwendungsprotokolle automatisch auswertet. *Es generiert '''tägliche Bericht…“) |
|||
| Zeile 52: | Zeile 52: | ||
*'''sudo logwatch --detail High --output stdout''' | *'''sudo logwatch --detail High --output stdout''' | ||
*Zeigt einen detaillierten Bericht direkt im Terminal an. | *Zeigt einen detaillierten Bericht direkt im Terminal an. | ||
| + | *'''sudo logwatch --range yesterday --detail Medium''' | ||
| + | *Zeigt die Log-Analyse des Vortages an. | ||
| + | *'''sudo logwatch --service sshd --detail High''' | ||
| + | *Zeigt nur die Logs für den SSH-Dienst an. | ||
=E-Mail-Versand einrichten= | =E-Mail-Versand einrichten= | ||
Version vom 16. März 2025, 07:36 Uhr
Prinzip von Logwatch
- Logwatch ist ein Log-Analyse-Tool, das System- und Anwendungsprotokolle automatisch auswertet.
- Es generiert tägliche Berichte, die per E-Mail oder in einer Datei gespeichert werden.
- Es kann verschiedene Log-Quellen wie Syslog, Journalctl und Anwendungslogs auswerten.
- Die Berichte enthalten eine Zusammenfassung von sicherheitsrelevanten Ereignissen, Fehlern und Systemaktivitäten.
Installation von Logwatch
Debian/Ubuntu
- sudo apt update
- sudo apt install logwatch
Red Hat/CentOS/Rocky Linux
- sudo dnf install logwatch
Konfiguration von Logwatch
- Die Hauptkonfigurationsdatei befindet sich unter:
- /etc/logwatch/conf/logwatch.conf
- Wichtige Konfigurationsoptionen:
- Output = stdout (Anzeige im Terminal)
- Output = mail (Versand per E-Mail)
- Format = text (Textformat)
- Detail = Low | Medium | High (Detailstufe der Berichte)
Beispiel: Logwatch-Bericht
- Ein typischer Logwatch-Bericht sieht folgendermaßen aus:
################### Logwatch ####################
Processing Initiated: Sun Mar 10 06:25:01 2024
Detail Level: Medium
=================================================
---- System Summary ----
Number of logins: 10
Failed login attempts: 2
Disk usage:
/dev/sda1: 40% used
---- SSHD Summary ----
Failed SSH logins:
192.168.1.100 (2 attempts)
Successful SSH logins:
user1 from 192.168.1.50
---- Apache Summary ----
Total Accesses: 1450
Errors: 10
- Dieser Bericht enthält Informationen zu:
- Anmeldeversuchen
- Speicherauslastung
- SSH-Verbindungen
- Apache-Fehlern
Manuelle Ausführung von Logwatch
- sudo logwatch --detail High --output stdout
- Zeigt einen detaillierten Bericht direkt im Terminal an.
- sudo logwatch --range yesterday --detail Medium
- Zeigt die Log-Analyse des Vortages an.
- sudo logwatch --service sshd --detail High
- Zeigt nur die Logs für den SSH-Dienst an.
E-Mail-Versand einrichten
- In der Datei /etc/logwatch/conf/logwatch.conf kann die E-Mail-Adresse konfiguriert werden:
- MailTo = admin@example.com
- MailFrom = logwatch@server.local
- Logwatch sendet den Bericht dann täglich an die angegebene Adresse.
Fazit
- Logwatch ist ein einfaches, aber effektives Tool zur automatisierten Log-Analyse.
- Es hilft, sicherheitsrelevante Ereignisse und Systemfehler schnell zu erkennen.
- Für erweiterte Anforderungen bieten moderne SIEM-Lösungen wie Wazuh oder ELK umfangreichere Analysefunktionen.