Logwatch mit Debian 12 und journald

Logwatch unterstützt standardmäßig kein direktes Auslesen der Logs aus journald, sondern erwartet klassische Log-Dateien. Unter Debian 12 wird journald verwendet, weshalb Logwatch hier ohne Anpassungen keine brauchbaren Berichte erstellt.

Voraussetzung

Um Logwatch mit Debian 12 verwenden zu können, muss rsyslog installiert werden. rsyslog erzeugt klassische Log-Dateien unter /var/log, welche von Logwatch ausgewertet werden.

rsyslog installieren

• apt install rsyslog

rsyslog startet automatisch nach der Installation und schreibt ab sofort klassische Log-Dateien wie /var/log/mail.log, /var/log/syslog, usw.

Testen der Log-Dateien

Prüfen, ob klassische Log-Dateien angelegt wurden:

• ls -l /var/log/mail.log /var/log/syslog

Logwatch testen

Logwatch manuell ausführen, um zu prüfen, ob Logs erkannt werden:

• logwatch --output stdout --detail High

Die Ausgabe enthält nun Postfix, Dovecot, Rspamd und ClamAV, falls diese Dienste aktiv sind.

Hinweis zur nativen journald-Unterstützung

Logwatch besitzt aktuell (Stand 2025) keine native journald-Unterstützung und ist somit nicht mehr als State-of-the-Art anzusehen. Alternativen wären direkte Nutzung von journalctl, grafische Lösungen wie Cockpit, oder moderne Monitoring-Tools wie Grafana/Loki oder der ELK-Stack.