Logwatch

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Prinzip von Logwatch

  • Logwatch ist ein Log-Analyse-Tool, das System- und Anwendungsprotokolle automatisch auswertet.
  • Es generiert tägliche Berichte, die per E-Mail oder in einer Datei gespeichert werden.
  • Es kann verschiedene Log-Quellen wie Syslog, Journalctl und Anwendungslogs auswerten.
  • Die Berichte enthalten eine Zusammenfassung von sicherheitsrelevanten Ereignissen, Fehlern und Systemaktivitäten.

Installation von Logwatch

Debian/Ubuntu

  • sudo apt update
  • sudo apt install logwatch

Red Hat/CentOS/Rocky Linux

  • sudo dnf install logwatch

Konfiguration von Logwatch

  • Die Hauptkonfigurationsdatei befindet sich unter:
    • /etc/logwatch/conf/logwatch.conf
  • Wichtige Konfigurationsoptionen:
    • Output = stdout (Anzeige im Terminal)
    • Output = mail (Versand per E-Mail)
    • Format = text (Textformat)
    • Detail = Low | Medium | High (Detailstufe der Berichte)

Beispiel: Logwatch-Bericht

  • Ein typischer Logwatch-Bericht sieht folgendermaßen aus:
 ################### Logwatch  ####################
  Processing Initiated: Sun Mar 10 06:25:01 2024
  Detail Level: Medium
  =================================================
  ---- System Summary ----
  Number of logins: 10
  Failed login attempts: 2
  Disk usage:
    /dev/sda1: 40% used
  ---- SSHD Summary ----
  Failed SSH logins:
    192.168.1.100 (2 attempts)
  Successful SSH logins:
    user1 from 192.168.1.50
  ---- Apache Summary ----
  Total Accesses: 1450
  Errors: 10
  • Dieser Bericht enthält Informationen zu:
    • Anmeldeversuchen
    • Speicherauslastung
    • SSH-Verbindungen
    • Apache-Fehlern

Manuelle Ausführung von Logwatch

  • sudo logwatch --detail High --output stdout
  • Zeigt einen detaillierten Bericht direkt im Terminal an.
  • sudo logwatch --range yesterday --detail Medium
  • Zeigt die Log-Analyse des Vortages an.
  • sudo logwatch --service sshd --detail High
  • Zeigt nur die Logs für den SSH-Dienst an.

E-Mail-Versand einrichten

  • In der Datei /etc/logwatch/conf/logwatch.conf kann die E-Mail-Adresse konfiguriert werden:
    • MailTo = admin@example.com
    • MailFrom = logwatch@server.local
  • Logwatch sendet den Bericht dann täglich an die angegebene Adresse.

Fazit

  • Logwatch ist ein einfaches, aber effektives Tool zur automatisierten Log-Analyse.
  • Es hilft, sicherheitsrelevante Ereignisse und Systemfehler schnell zu erkennen.
  • Für erweiterte Anforderungen bieten moderne SIEM-Lösungen wie Wazuh oder ELK umfangreichere Analysefunktionen.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Logwatch&oldid=60007