Я установил Logwatch в своей системе (Debian). Рассылка и т. Д. Работает хорошо.
Я бы хотел получать ежедневный отчет о системе один раз в день.
И;
Получать любой высокий уровень (неудачные попытки входа в систему, атаки - если возможно - и т. Д.) Немедленно по мере их возникновения.
Какие настройки мне нужно изменить, а какие именно? Когда дело доходит до работы с системами, я новичок, и я провел свое исследование в Google, но результаты меня пока только подводят.
Спасибо.
Предполагая, что вы используете rsyslog, который используется по умолчанию в Debian squeeze:
Использовать модуль вывода почты rsyslog отправить себе электронное письмо. Вы можете настроить, какие сообщения будут отправляться вам обычным способом:
*.emerg :ommail:;mailBody
или сопоставив текст в сообщении журнала:
if $msg contains 'hard disk fatal failure' then :ommail:;mailBody
LogWatch запускается один раз в день из cron - если вы хотите получать более частые уведомления, вы можете запускать LogWatch чаще, но это будет отправлять вам все на что обычно жалуется LogWatch.
Если вы хотите следить за конкретными сообщениями, вам следует использовать что-то более сложное, чем LogWatch (syslog-ng с настраиваемыми фильтрами / действиями сразу приходят на ум, особенно если вы хотите «немедленные» уведомления), или написание собственного инструмента для сканирования файлов журналов по более жесткому графику.
Просьба к вашей системе присылать вам электронные письма о каждом «важном» событии может быстро стать непосильной задачей. Например, в моей личной системе было более 1000 неудачных попыток входа в систему. CЕГОДНЯ (за последние 11 часов) - Я определенно не хочу, чтобы мне писали по каждому из них: у меня достаточно спама.
Надлежащий мониторинг и оповещения должны сообщать вам только о вещах, требующих действий с вашей стороны (LogWatch, по моему опыту, ужасно при этом, до такой степени, что я полностью отключил его в своей среде, потому что он просто создает шум) - Убедитесь, что любая система, которую вы внедряете, имеет очень низкий уровень шума, чтобы вы не попали в слишком распространенную ловушку игнорировать предупреждения, потому что «я вижу это все время, и это никогда не имеет значения».