logwatch

  • En este artículo quise demostrar algunos de los ataques que detecta y reporta logwatch a diario, de acuerdo a la información que recoge de los logs de accesos y errores del servidor Nginx, junto con un uso insospechado que recientemente encontré al mismo.

    Logwatch es una herramienta indispensable en todos mis servidores. Es la que me permite tener una visión general de la actividad de cada servidor a lo largo del día. Y es la que, junto con AIDE, me permite detectar cualquier actividad sospechosa en los procesos y el filesystem.

    Este es otro artículo para generar conciencia respecto a la seguridad de la información, y los peligros que supone poner un servicio a disposición de Internet (en este caso, un sitio Web). Es común que muchos administradores novatos o negligentes se inclinen hacia razonamientos del tipo "a mi no me va a pasar", "quién va a querer atacar mi servidor", u otros similares. Este tipo de argumentos son desacertados porque asumen intencionalidad. Es decir asumen que van a ser víctimas de ataques cuando un individuo quiera provocar específicamente un daño a la reputación de nuestra marca/empresa/cliente/servidor. Tal aseveración es falsa y la realidad es que, en la mayoría de los casos, los atacantes no buscan un daño o prejuicio, sino que simplemente buscan agregar un nodo más a una botnet, sin dejar el más mínimo rastro o daño que los pueda poner en evidencia. Y más aún, la mayoría de los ataques no son dirigidos específicamente a un sitio o servidor, sino que son "al voleo" y con herramientas automáticas. Y en muchos casos llevados a cabo por robots. A quién atacan luego con la botnet, vaya uno a saber. Lo importante es que sea lo más grande posible (en cantidad de nodos o bots).

    En definitiva, cuando uno pone a disposición un servicio accesible públicamente, tarde o temprano será atacado. Pues los robots barren constantemente las redes IPv4 e IPv6 en búsqueda de nuevos hosts y puertos abiertos.

  • Este artículo explica cómo instalar logwatch en Debian y habilitar el resumen de logs de Nginx en la salida del mismo.

    Logwatch es una poderosa y versátil herramienta de análisis forense de logs de servicios (Web, correo, sistema, etc.) Está diseñado para elaborar un reporte unificado de toda la actividad en el servidor para un período determinado (típicamente el último día), el cual puede ser enviado por mail. De esta forma podemos recibir a diario, en nuestra casilla de correo electrónico, un resumen de la actividad sospechosa/anormal del día anterior.

  • Recientemente tuve la necesidad de instalar logwatch en un servidor bastante viejito:

    # cat /etc/issue
    Fedora Core release 5 (Bordeaux)
    Kernel \r on an \m
    
    

    Logwatch es una excelente herramienta que analiza y reporta los logs del sistema por mail. Logwatch es capaz de enviar los reportes en formato de texto plano o en formato html. En formato de texto plano funciona correctamente con la configuración básica, el problema es al tratar de enviarlo en formato html.

  • En este artículo explico cómo separar los reportes del servicio httpd en logwatch. Esto es útil para discriminar desde qué sitio se produjo una alerta en un resumen enviado por mail. La idea es tener un resumen por cada VirtualHost, en lugar de un resumen para todo el servicio httpd.

  • Logwatch es un sistema de monitoreo de logs personalizable. Su función es revisar los logs del sistema en un período de tiempo determinado y elaborar un resumen con el nivel de detalle que se desee. Luego es capaz de enviar el resumen por mail en forma de reporte. Es muy útil para monitorear la actividad de los servidores y detectar posibles abusos, intentos de intrusión, consumo de recursos, etc.

  • NOTA: este artículo podría haberse llamado "logwatch para Windows" o "logwatch for Windows".

    Una de las principales herramientas que utilizo en todos los servidores GNU/Linux (además de Nagios) es Logwatch. Logwatch es un sistema de monitoreo de logs personalizable. Su función es revisar los logs del sistema en un período de tiempo determinado y elaborar un resumen con el nivel de detalle que se desee. Luego es capaz de enviar el resumen por mail en forma de reporte. Es muy útil para monitorear la actividad de los servidores y detectar posibles abusos, intentos de intrusión, consumo de recursos, etc.

    He dedicado varios artículos a esta gran herramienta, como por ejemplo Instalación de logwatch en Debian, Discriminar logs de Apache en logwatch según VirtualHost y Configurar logwatch en servidores prehistóricos.

    Como sysadmin, además de administrar una amplia variedad de servidores GNU/Linux, debo administrar varios servidores Microsoft Windows. A pesar de que apoyo fervientemente el software libre y open source no me considero un fundamentalista. Me gusta aprender todo lo posible, y hacer experiencia trabajando con la mayor cantidad de sistemas y tecnologías a mi alcance (tengo la suerte de poder meter mano en servidores Novell y Unix; tecnologías de virtualización como VMware, KVM y Hyper-V; etc.)

    Hace tiempo que llevo buscando sin éxito una buena herramienta "free" que realice el mismo trabajo que Logwatch (lamentablemente no hay una versión de Logwatch para Windows) con el objetivo de monitorear logs de servidores IIS (Internet Information Services).

  • Desde que instalé logwatch en uno de mis viejos servidores Fedora Core 4 veo el siguiente error en el reporte, en la sección del kernel:

     ---------------------- Kernel Begin -------------------------
    
    
    egrep: module: No such file or directory
    
    
     ---------------------- Kernel End -------------------------