Logwatch para monitorear los logs del servidor
24.05.2017 Hosting Mini Posts Logwatch Seguridad LogsHabrán visto que en su server todo es logueado (accessos por ssh, estadísticas de apache, actualizaciones, etc) pero se hace muy dificil, por no decir imposible, leer esos logs diariamente para asegurarnos que todo anda bien en nuestro sistema.
Por suerte existen herramientas como logwatch, que nos hacen un resumen de los logs del sistema y nos lo envían por email. Vamos a ver como lo dejamos configurado.
Instalar y configurar Logwatch en Ubuntu 16.04
El primer paso es instalar el paquete, lo cual es bastante sencillo porque el mismo está en los repos de Ubuntu, asi que simplemente hacemos
apt install logwatch
y ya estamos listos para configurarlo.
Vamos a modificar algunos valores en el archivo /usr/share/logwatch/default.conf/logwatch.conf (por simplicidad solo incluyo los valores modificados de la configuración):
Output = email
MailTo = [email protected]
MailFrom = [email protected]
Detail = Med
Esto va a hacer que al ejecutarse logwatch envie un email a [email protected] con un nivel de detalle Medio. El nivel de detalle puede setearse como Low, Med, High o con número del 0 al 10 (siendo 0 = Low, 5 = Med y 10 = High).
Ahora si ejecutamos logwatch recibiremos un email con el resumen.
Al momento de instalar logwatch nos debería haber creado un archivo en /etc/cron.daily/00logwatch, esto hace que se ejecute logwatch diariamente, por lo que recibiremos un email en nuestra casilla con el resumen de los logs, lo que nos permite identificar amenzas o problemas en nuestro servidor.
UPDATE: Es probable que a pesar de modificar el parámetro MailFrom, sigan recibiendo el mail enviado por root. Esto se debe a que logwatch procesa el archivo /usr/share/logwatch/dist.conf/logwatch.conf después de procesar /usr/share/logwatch/default.conf/logwatch.conf, por lo que deben modificar (o eliminar) la entrada MailFrom de /usr/share/logwatch/dist.conf/logwatch.conf para que el remitente sea el que ustedes setearon.