*** Logwatch って? [#e81f451b]
- メールや、ftp、webのアクセス等などサーバに対してなんからのアクセスがあった場合、必ずログが出力されます。~
そのログの内容から、不正にアクセスを行っている輩を早期発見するというコンセプトで作成されたのが、~
このLogwatchなのです。他にもswatch というツールでの監視がありますが、/var/message に出力されるログを~
監視し管理者が指定したパターンが現れたときにメール等での通知を行うツールも有用ですが、なにせ~
管理者が指定したパターンが不十分であったり、スキルが不足しており本来監視対象としなければいけない~
物を見逃してしまう可能性がありました。
- また、swatch での監視は即時性があり障害対応を行うには、非常に有用なツールですが、~
いかんせんメール内容は、その該当行のまま表示されるため、ログを見慣れていないと折角の通知でも~
対応を誤ってしまう可能性がありました。
- これに対し Logwatch は、cron コマンドを利用し毎朝(デフォルトは、04:02)に実行され、/var/message の~
内容から各セキュリティに関する情報を自動的に収集し管理者に判りやすい形でメールで通知するので非常に便利なのです。
- 収集する情報の中には、以下の物があります。(全部では、ないです)
qpop による外部参照ユーザ
sendmail/qmail による不正中継 (第三者中継の調査)
パスワード不一致
root ユーザとなったユーザ一覧、また回数
samba によるアクセス
外部サービスの総アクセス時間
ディスク使用情報
: 前提条件 | COLOR(RED){''logwatch''}パッケージがインストール((パーケッジの[[インストール方法>パーケッジのインストールの巻]]はこちらを参照))されていることが条件。~
パッケージの確認は、COLOR(RED){''rpm -q logwatch''}コマンドで確認できるよ。~
*** logwatch を設定する [#i4299e43]
- COLOR(RED){''/etc/log.d/conf/logwatch.conf''} 以下の定義値を修正または追加する。
※もちろんバックアップをしてから作業すること。
# Default person to mail reports to. Can be a local account or a
# complete email address.
MailTo = hoge@sea-bird.org
# The default detail level for the report.
# This can either be Low, Med, High or a number.
# Low = 0
# Med = 5
# High = 10
Detail = High
: 変更点 | MailTo に、logwatch で集計した結果を送るメールアドレスを指定する~
Detail には、reportの解析度を指定しますが一番高い(High)でいいでしょう
*** logwatch の運用方法 [#ob21fa80]
- とりあえず毎日、こまめにみてください。特にメール関係は、spamが多いので遮断するとか対処もできるし~
Webにいたってはアタック攻撃も結構されているので、遮断するとかとにかくウザイ人を排除したほうがいいです。
*** 参考にさせて頂いたサイト様 [#xd03ec35]
- [[Logwatch 5.0 に関するインストールメモ>http://www.sea-bird.org/doc/Qube3J/logwatch2.html]]