Monitorare log con Logwatch

iptables-1 Buongiorno a tutti! Oggi è lunedì, e come ogni settimana, quando non ci sono esami, vi proponiamo un nuovo argomento. Nel post di oggi andremo a vedere un modo efficace e veloce per controllare i file di log su una macchina di nostro interesse, ad esempio il nostro web server o semplicemente il nostro computer personale, ma prima di andare a vedere questo programma molto interessante, facciamo gli auguri al nostro collega Emanuele, che oggi si laurea in Scienze Informatiche, quindi auguri da tutti noi Ema!;)

Ora bando alle ciance e continuiamo a nerdare!

Logwatch

Prima di entrare nel dettaglio della sua installazione e configurazione, vediamo brevemente di cosa si tratta e come funziona.

In breve questo programma è un parsificatore e analizzatore di log. Cosa significa? Semplicemente che si va a leggere i file di log, lui li analizza, ovvero controlla cosa è successo, e infine ci avverte generando un report, che può essere comodamente inviato sul nostro indirizzo email.

 

Installazione

Vediamo ora cosa ci serve e come procedere con l’installazione. I componenti principali sono un servizio che permetta alla macchina di mandare le mail come ad esempio sendmail o postfix ed infine logwatch.

 

Quindi se siamo su Arch Linux lo troviamo direttamente nei repository, dunque installiamolo dando il seguente comando (nota che nei repository di Arch troviamo postfix al posto di sendmail):

 

sudo pacman -S logwatch postfix

 

Mentre se siamo su Debian o derivate:

 

sudo apt-get install logwatch sendmail

 

Oppure su Fedora:

 

dnf install logwatch sendmail

 

In questo post ci concentreremo principalmente della configurazione di logwatch, a breve metteremo anche un post per configurare postfix e sendmail. In ogni caso se siete interessati a capire come inviare una mail da terminale vi consigliamo di leggere questo nostro post.

 

Configurazione

Il file di configurazione lo troviamo nella seguente directory /usr/share/logwatch/default.conf/logwatch.conf. All’interno possiamo impostare la directory dei log, a chi inviare il report per email, quale servizio utilizzare per l’invio della mail e molto altro.

 

Apriamo quindi il file:

 

nano /usr/share/logwatch/default.conf/logwatch.conf 

 

Di default i log sono salvati all’interno della directory /var/log, ma ovviamente questo parametro può cambiare, quindi noi possiamo dirgli a logwatch in quale directory andare a spulciare. Per fare questo andiamo a modificare la linea:

 

LogDir = /var/log

 

dove ovviamente al posto di /var/log mettiamo la directory da noi preferita.

 

Più avanti possiamo notare un altro parametro molto interessante, ossia Output. Tale parametro dice dove logwatch indirizzerà il suo output. Di default questo è settato a stdout, in poche parole il terminale. Qui noi possiamo mettere mail se vogliamo che l’output del programma sia inviato come report su un nostro indirizzo email, oppure possiamo mettere il file se vogliamo l’output su un file. Volendo possiamo anche impostare html come parametro, in questo caso il formato della mail sarà in html. Ovviamente per ricevere una email, come accennato prima, dobbiamo avere un programma che le invia come ad esempio sendmail e postfix, inoltre dobbiamo modificare anche il parametro MailTo e inserire o il nome dell’utente a cui vogliamo inviare la email, oppure direttamente un indirizzo email valido. Nel caso in cui vogliamo il report all’interno di un file, andiamo a modificare il seguente parametro Filename e mettiamo il path del nome del file in cui vogliamo il report.

 

Vediamo ora come utilizzare il programma. Abbiamo due alternative. Siccome esso non è un demone che gira continuamente in background dobbiamo avviarlo noi manualmente, oppure appoggiarci a cron. Se volete utilizzare lo scheduler cron vi consigliamo di leggere questo nostro post, in alternativa potete lanciare il comando semplicemente digitando:

 

logwatch

 

Esso prevede anche dei parametri:

 

  • --detail [low | med | hight | 1 to 10] che come potrete immaginare indica il livello di dettaglio del report.
  • --logdir se volete controllare un’altra directory contenente log, diversa da quella specificata nel file di configurazione.
  • --output per modificare l’output (es. stdout, file..).
  • --mailto per specificare un indirizzo email a cui inviare il report generato.

 

Conclusioni

Bene, oggi abbiamo conosciuto uno strumento nuovo, molto interessante, che può semplificarti la vita notevolmente se siete alla ricerca di qualcosa di particolare all’interno dei file di log. Generalmente cercare qualcosa lì può essere paragonato come a cercare un ago in un pagliaio, quindi un aiuto non guasta mai;).

 

Dottore in Informatica. Da sempre appassionato di Linux, reti informatiche, sicurezza e, in modo amatoriale, all'elettronica. Il mio intento è quello di trasmettere le mie conoscenze ad altri appassionati.

2 risposte

  1. La parte sulla configurazione risulta un po scarna, ad esempio, sarebbe interessante sapere come dire a logwatch quali log processare, come filtrare le informazioni ecc.

    • Daniele Scanu - Blogger

      Si si hai perfettamente ragione, diciamo che questo post è più un introduzione al tool, infatti non ho approfondito più di tanto. Grazie comunque per l'appunto, magari può essere uno spunto per un post futuro;)

Lascia un commento