logcheck получаем информацию из логов на почту

После того как мы настроилии ssmtp, установим и настроим logcheck

Проверим установлен ли Logcheck
Перед установкой
Устанавливаем logcheck
После установки
Настроим logcheck
Период отправки отчета
Добавим исключение logcheck
Запуск Logcheck из консоли
Исправим шапку в письме

Проверим установлен ли Logcheck

 aptitude show logcheck

Перед установкой

Создадим файл с существующими файлам в системе до установки (что бы после получить список файлов после установки):

find /* > /home/NameUSer/beforeLogcheck

Устанавливаем logcheck

apt-get install logcheck

После установки

Создадим файл с существующими файлам в системе после установки

find /* > /home/NameUser/afterLogcheck

Получим разность файлов - список файлов созданых во время установки

diff /home/NameUser/beforeLogcheck /home/NameUser/afterLogcheck > /home/NameUser/installedLogcheck

Удалим временные файлы

rm /home/NameUser/beforeLogcheck /home/NameUser/afterLogcheck

Настроим logcheck

Сделаем бекап конфига

cp /etc/logcheck/logcheck.conf /etc/logcheck/logcheck.conf.default

Можно выберать один из готовых режимов работы
Могут быть установлены "workstation", "server" или "paranoid" (из коробки стоит режим server)
Так же можно сделать на базе одного из режимов свой, добавляя или убирая файлы исключений из нужной папки. Но чесно сказать у меня не получилось.

Откроем конфиг для редактирования, mc должен быть установлен, или используй nano

mcedit /etc/logcheck/logcheck.conf

Установми server профайл

REPORTLEVEL="server"
 

Установим куда слать
SENDMAILTO=адрескудаслать@domain.com

Укажем логфайлы которые необходимо парсить в файле logcheck.logfiles

nano /etc/logcheck/logcheck.logfiles

Лог файлы находятся /var/log

Период отправки отчета

Укажем в кроне как часто слать письма на почту к примеру каждый день в 11.00

nano /etc/cron.d/logcheck

И обозначем в строке

00 11 * * *       logcheck    if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi

Добавим исключение в logcheck

После того как мы увидели кучу строк и разобрались в их безопасности добавим их в исключение,
[[:digit:]]+ заменяет цифры,
[:.[:xdigit:]]+ ip адрес,
перед [ ] нужно ставить \
Используйет *, ? и изучите уже существующий синтаксис в файле.

Запуск Logcheck из консоли

sudo -u logcheck logcheck
Если есть ошибки в синтаксисе файлов с исключениями они будут выведены

Исправим шапку в письме

Сделаем бекап оригинальной шапки
cp /etc/logcheck/header.txt /etc/logcheck/header.txt.default

Скачаем болванку

wget -P /etc/logcheck http://itautsors.ru/header.txt
Таким же образом можно сделать /etc/logcheck/footer.txt
 
Таксаномия: 

Добавить комментарий