• Teilen
  • Bookmark "Logcheck" auf del.icio.us
  • Bookmark "Logcheck" auf Digg
  • Bookmark "Logcheck" auf Reddit
  • Bookmark "Logcheck" auf StumbleUpon
  • Bookmark "Logcheck" auf Facebook
  • Bookmark "Logcheck" auf Twitter
  • Bookmark "Logcheck" auf Slashdot

Logcheck

Logcheck überwacht angegebene Logs und schickt Auffälligkeiten in jenen per E-mail an den Administrator. So können Konfigurationsfehler und Sicherheitsprobleme frühzeitig erkannt werden. Diese Anleitung beschreibt die Einrichtung von Logcheck.

Softwarevoraussetzungen: Paketverwaltung | Texteditor | Mailserver
Schwierigkeitsgrad: Mittel
Ausgetestet mit folgenden Betriebssystemen: Ubuntu | Debian

Achtung! sudo: In dieser Anleitung verdeutlicht der Befehl sudo, dass die folgende Codezeile mit Root-Rechten ausgeführt werden muss. In normalen Ubuntu Installationen (Root-/VServer siehe Debian) kann dies durch den Befehl sudo erreicht werden.
Bei Debian wird bei der Installation ein Passwort für den Root-Benutzer festgelegt, so kann man sich entweder direkt als Root oder als „normaler“ Benutzer mit Eingabe von su als Root einloggen (Root-Passwort benötigt) → sudo bleibt dann überflüssig!

Installation

Man installiert das Paket logcheck mittels

user@server:~$ sudo apt-get install logcheck

Konfiguration

Hierfür bearbeitet man die /etc/logcheck/logcheck.conf:

user@server:~$ sudo nano /etc/logcheck/logcheck.conf

…und setzt eine gültige Mailadresse ein (Postfix oder ein anderer MTA/LTP wird benötigt):

SENDMAILTO="root@localhost"   # eine Mailadresse des Admins

Zu überwachende Logs

Die zu überprüfenden Logs werden in der /etc/logcheck/logcheck.logfiles aufgelistet:

user@server:~$ sudo nano /etc/logcheck/logcheck.logfiles

Die von Haus aus aktivierten Logs sind oftmals schon ausreichend.

Beispiel

# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/auth.log
/var/log/mail.log
/var/log/clamav/clamav.log

Starten und Testen

Logcheck wird nun jede Stunde ausgeführt. Testen kann man das ganz einfach, indem man den Rechner neu startet, dabei erhält man die Logs des Bootvorgangs. Jede volle Stunde – falls logcheck etwas findet – könnte eine Mail im konfigurierten Postfach eintreffen.

Beispielmail

Eine Beispielmail könnte wie folgt aussehen:

This email is sent by logcheck. If you no longer wish to receive
such mails, you can either deinstall the logcheck package or modify
its configuration file (/etc/logcheck/logcheck.conf).

System Events
=-=-=-=-=-=-=
Mar 27 03:12:43 littlehost kernel: [43892.521935] lo: Disabled Privacy Extensions
Mar 27 04:00:01 littlehost acpid: exiting
Mar 27 04:00:01 littlehost init: tty4 main process (945) killed by TERM signal
Mar 27 04:00:01 littlehost init: tty5 main process (948) killed by TERM signal
Mar 27 04:00:01 littlehost init: tty2 main process (965) killed by TERM signal
Mar 27 04:00:01 littlehost init: tty6 main process (972) killed by TERM signal

Mehr Informationen

Mehr Infos über Logcheck erfährt man mit:

user@server:~$ man logcheck



chrisge 2014/07/03 18:04

Diskussion

Geben Sie Ihren Kommentar ein. Wiki-Syntax ist zugelassen:
NZEDC
 
  • Teilen
  • Bookmark "Logcheck" auf del.icio.us
  • Bookmark "Logcheck" auf Digg
  • Bookmark "Logcheck" auf Reddit
  • Bookmark "Logcheck" auf StumbleUpon
  • Bookmark "Logcheck" auf Facebook
  • Bookmark "Logcheck" auf Twitter
  • Bookmark "Logcheck" auf Slashdot
Sonstiges
Drucken/exportieren
Archiv

Archivierter Inhalt der alten Seite