Como configurar o Logwatch para receber mensagens de alto nível imediatamente?

2

Eu configurei o Logwatch no meu sistema (Debian). Mailing etc funciona bem.

O que eu gostaria é de obter um relatório diário do sistema uma vez por dia

E

Para receber qualquer nível alto (tentativas de login malsucedidas, ataques, se possível, etc.) assim que ocorrerem.

Quais configurações eu preciso modificar e modificar com o que exatamente? Eu sou um novato quando se trata de trabalhar com sistemas e fiz minha pesquisa no Google, mas os resultados só me levam até agora.

Obrigado.

    
por Phil 22.10.2012 / 20:07

2 respostas

4

O LogWatch é executado uma vez por dia, do cron - Se você deseja notificações mais frequentes, pode executar o LogWatch com mais frequência, mas isso enviará tudo que o LogWatch normalmente reclama.

Se você quiser assistir a mensagens específicas, deve usar algo mais sofisticado do que o LogWatch ( syslog-ng com filtros / ações personalizados imediatamente, especialmente se você quiser notificações "imediatas") ou escrever sua própria ferramenta para escaneie os arquivos de log em um cronograma apertado.

Tenha cuidado com o que você deseja

Pedir que o seu sistema envie e-mails para todos os eventos "importantes" pode rapidamente se tornar esmagador. Por exemplo, existem mais de 1000 tentativas de login malsucedidas no meu sistema pessoal HOJE (nas últimas 11 horas) - eu certamente não quero ser enviado por e-mail para cada uma das aqueles: eu tenho spam suficiente.

O monitoramento e alerta adequados devem apenas informar sobre coisas que exigem ação de sua parte (o LogWatch em minha experiência é horrível nisso, a ponto de eu ter desabilitado completamente em meu ambiente porque está apenas criando ruído) - Certifique-se de que o sistema que você implementa tenha um nível de ruído muito baixo para que você não caia na armadilha comum de ignorar alertas porque "eu vejo isso o tempo todo e nunca é importante" .

    
por 22.10.2012 / 20:24
5

Assumindo que você esteja usando o rsyslog, que é o padrão no Debian squeeze:

Use o módulo de saída de e-mail do rsyslog para enviar-se por e-mail. Você pode configurar quais mensagens serão enviadas para você da maneira usual:

*.emerg  :ommail:;mailBody

ou por correspondência de texto na mensagem de log:

if $msg contains 'hard disk fatal failure' then :ommail:;mailBody
    
por 22.10.2012 / 20:19