Logwatch es un sistema de monitoreo de logs personalizable. Su función es revisar los logs del sistema en un período de tiempo determinado y elaborar un resumen con el nivel de detalle que se desee. Luego es capaz de enviar el resumen por mail en forma de reporte. Es muy útil para monitorear la actividad de los servidores y detectar posibles abusos, intentos de intrusión, consumo de recursos, etc.



Para instalar logwatch en Debian 6 basta con ejecutar la siguiente instrucción (como usuario root):

# apt-get install logwatch

Para modificar la configuración por defecto de logwatch, se puede editar el archivo /usr/share/logwatch/default.conf/logwatch.conf:

# nano /usr/share/logwatch/default.conf/logwatch.conf

Se realizan las siguientes modificaciones (entre corchetes se indica el número de línea, se puede determinar en nano mediante Ctrl+C):

[35] Output = mail
[37] Format = html
[44] MailTo = tu(arroba)tumail.com
[77] Detail = high

Se guarda con Ctrl+X, luego Yes.

El nivel de detalle puede ser high, medium o low.

Para que logwatch pueda enviar mails se debe reconfigurar exim (mail transfer agent), aunque si se utiliza postfix posiblemente no sea necesario hacer nada:

# dpkg-reconfigure exim4-config

Seleccionamos las siguientes opciones (suponiendo que es un servidor Web y no debe recibir correo, sólo enviar):

General type of mail configuration: internet site; mail is sent and received directly using SMTP
System mail name: HOSTNAME_DEL_SERVIDOR
IP-addresses to listen on for incoming SMTP connections: 127.0.0.1 ; ::1
Other destinations for which mail is accepted: HOSTNAME_DEL_SERVIDOR
Domains to relay mail for: (dejar en blanco)
Machines to relay mail for: (dejar en blanco)
Keep number of DNS-queries minimal (Dial-on-Demand)? No
Delivery method for local mail: mbox format in /var/mail/
Split configuration into small files? No

Se debe configurar el firewall para permitir salida hacia el puerto 25. Este punto depende del firewall utilizado.

Para configurar el header "From:" del mail se necesitan hacer dos cambios. Primero se debe configurar el "full name" del usuario root utilizando el comando chfn:

# chfn -f "root del servidor Pepe" root

Luego se debe editar el archivo /etc/email-addresses para agregar la dirección de correo del usuario root:

# This is /etc/email-addresses. It is part of the exim package
#
# This file contains email addresses to use for outgoing mail. Any local
# part not in here will be qualified by the system domain as normal.
#
# It should contain lines of the form:
#
#user: someone(arroba)isp.com
#otheruser: someoneelse(arroba)anotherisp.com
root: root(arroba)tuservidor.com.ar

Se puede probar el correcto funcionamiento de logwatch ejecutando:

# logwatch

Si no hubo problemas se recibirá un mail en la casilla configurada anteriormente.

Logwatch agrega un script en el directorio /etc/cron.daily/ para ejecutarse automáticamente una vez al día.


Tal vez pueda interesarte


Compartí este artículo