Logwatch

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen

Hier ist eine klare, einfache und vollständige Erklärung zu Logwatch im MediaWiki-Format, mit Fokus auf das Wesentliche und darauf, was genau wie ausgewertet wird:

Was ist Logwatch?

Logwatch ist ein Logfile-Analyse-Tool, das automatisch Systemprotokolle (Logs) auswertet und daraus einen übersichtlichen Bericht erzeugt.

Welche Logs werden ausgewertet?

Standardmäßig analysiert Logwatch folgende Protokolle:

Systemprotokolle
  • auth.log – Anmeldungen, fehlerhafte Logins, sudo-Zugriffe
  • syslog – Allgemeine Systemmeldungen, Fehler, Warnungen
  • kern.log – Kernelmeldungen, Hardwareprobleme, Fehler bei Geräten
  • daemon.log – Meldungen von Diensten wie SSH, Cron, Postfix, etc.
Anwendungsprotokolle (falls installiert)
  • Apache – Zugriffe, Fehler, Attacken
  • Postfix – E-Mail-Versand, Empfang, Spam-Warnungen
  • SSH – Zugriffe, fehlgeschlagene Anmeldeversuche
  • Cron – Ausführung und Fehler von Cronjobs
  • Fail2Ban – IP-Blockaden, Sicherheitswarnungen
  • MySQL/MariaDB – Fehler und Warnungen in der Datenbank

Wie wird ausgewertet?

Logwatch wertet die Logs regelmäßig (standardmäßig täglich) per Cronjob aus. Es sucht nach:

Wichtigen Ereignissen
  • Kritischen Fehlern (CRITICAL)
  • Fehlgeschlagenen Anmeldungen (Login Failures)
  • Sicherheitsrelevanten Warnungen (SECURITY)
  • Abweichungen im normalen Betrieb (z.B. ungewöhnlich viele Zugriffe)
Gruppierung und Zusammenfassung
  • Häufig wiederkehrende Meldungen werden zusammengefasst dargestellt, um den Bericht übersichtlich zu halten.
  • Einzelne Meldungen werden nach Typ und Dienst (z.B. SSH, Cron, Apache) sortiert.

Berichtsausgabe

Logwatch fasst alle relevanten Einträge in einem Bericht zusammen, der entweder:

  • Per Mail versendet wird (Standard)
  • Auf der Konsole ausgegeben wird

Die Detailtiefe kannst du selbst bestimmen:

  • Low – Nur kritische und wichtige Meldungen (Standard)
  • Med – Erweiterte Meldungen und Warnungen
  • High – Ausführliche Detailmeldungen (für Troubleshooting)

Wichtige Optionen in logwatch.conf

Die Hauptkonfiguration erfolgt in /usr/share/logwatch/default.conf/logwatch.conf. Änderungen sollten immer in /etc/logwatch/conf/logwatch.conf vorgenommen werden.

Wichtige Parameter
  • MailTo = admin@beispiel.de – Wohin der Bericht gesendet wird.
  • Detail = Low|Med|High – Wie detailliert der Bericht ausfällt.
  • Range = yesterday|today|All – Welcher Zeitraum ausgewertet wird.
  • Output = mail|stdout – Wie die Ausgabe erfolgen soll.
  • Format = html|text – Ausgabeformat des Berichts.

Eigene Logs einbinden

Um eigene Logs auszuwerten, kannst du in: 

/etc/logwatch/conf/services/

eigene Konfigurationsdateien hinterlegen. Beispiel: 

Datei: /etc/logwatch/conf/services/meinlog.conf
Title = "Mein Dienst"
LogFile = /var/log/meindienst.log

Automatische Ausführung

Logwatch läuft standardmäßig einmal täglich über Cron. Du musst keine zusätzlichen Schritte vornehmen.

Manueller Test

So kannst du sofort sehen, was Logwatch macht: 

Ausgabe auf der Konsole:
logwatch --output stdout --detail High

Ausgabe per Mail testen:
logwatch --mailto admin@beispiel.de --detail Med

Fazit

Logwatch reduziert das tägliche Lesen einzelner Logs deutlich und hebt automatisch kritische Ereignisse hervor. Dadurch sparst du Zeit bei der Fehler- und Sicherheitsüberwachung deines Systems.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Logwatch&oldid=60548