Linuxサーバ関連情報 ＞ Logwatchでサーバ監視レポート

Logwatch はlinuxOS上で一日一回サーバ監視レポートメールを送信してくれる便利なツールです。
Logwatchを活用し現在のサーバ状況の確認すれば/var/logなどに格納されているログファイルを
1つ1つ確認する作業を軽減することができます。

ダウンロードはこちらから行うことができます。
http://www.logwatch.org/

Logwatch（ログウォッチ）とは？

Logwatchとはサーバー内のログを解析し、見やすいレポート形式にてメール配信してくれるサーバー側のツールです。Logwatch自体はデーモンではないのでcronで動作させることにより利用することができます。Redhatなどではデフォルトでインストールされるようです。
サーバーによって変わってきますが、シーズサーバーでは、一日一回（早朝）に処理を行っています。

Logwatchが見せてくれるもの

■Logwatchが見せてくれるものは様々あります。　下記サンプル ################### LogWatch 7.3.6(06/23/04) #################### Processing Initiated: Wed Jan 18 06:25:03 2006 Date Range Processed: yesterday Detail Level of Output: 5 Logfiles for Host: hoge.ahref.org ################################################################ --------------------- Cron Begin ------------------------ Commands Run: User root: run-parts --report /etc/cron.hourly: 24 Time(s) ---------------------- Cron End ------------------------- --------------------- pam_unix Begin ------------------------ cron: Sessions Opened: root: 1465 Time(s) sshd: Sessions Opened: test : 2 Time(s) su: Authentication Failures: hoge (000) -> root: 2 Time(s) Sessions Opened: hoge (uid=000) -> root: 2 Time(s) (uid=0) -> nobody: 1 Time(s) ---------------------- pam_unix End ------------------------- --------------------- qmail Begin ------------------------ Remote Server Responses: Success(250) - 1 Time(s) Percentage(s): Success - 100.00 % ---------------------- qmail End ------------------------- --------------------- SSHD Begin ------------------------ Users logging in through sshd: hoge: hoge .ahref.org (192.168.1.1): 2 times Refused incoming connections: 192.168.1.123 (192.168.1.123): 2 Time(s) ---------------------- SSHD End ------------------------- ------------------ Disk Space -------------------- /dev/hda5 2G 63M 787M 8% / /dev/hda1 177M 9.2M 158M 6% /boot /dev/hda7 72G 46M 68G 1% /home /dev/hda2 19G 791M 17G 5% /usr /dev/hda3 19G 100M 18G 1% /var ###################### LogWatch End #########################

・Cron (定時に行われているCron処理のユーザー及びその内容)
・pam_unix (Linuxのpam認証においての認証成功または失敗)
・kernel (kernelにおける起動またはエラー)
・qmail(mail)
・SSHD (Linuxのssh認証においての認証成功または失敗)
・Disk Space (Linuxのディスクスペース使用状況)
・Connections (secure-log)(ユーザー追加時など)
・その他（ログ採取レベルまたはLinux環境応じて変化します）

Logwatchが配信してくれるレポートで 特に注意が必要な項目は 「SSHD」「pam_unix」「Disk Space」「kernel 」あたりではないでしょうか。 「SSHD」にて自分がSSHD接続を許可していないユーザーなどがSessions Openedになっていた場合は不正アクセスの可能性があります。 また上記には記載されていませんがハードウェアの異常など示す「kernel」なども注意が必要です。

Logwatchのインストール

Logwatchのインストールは下記に記入します。今回はソースインストールを行いました。

#■logwatch 7.3.6 インストール wget http://www.stellarcore.net/logwatch/pub/linux/logwatch-7.3.6.tar.gz tar xvfz logwatch-7.3.6.tar.gz cd logwatch-7.3.6 mkdir /etc/logwatch mkdir /etc/logwatch/scripts mkdir /etc/logwatch/conf mkdir /etc/logwatch/conf/logfiles mkdir /etc/logwatch/conf/services touch /etc/logwatch/conf/logwatch.conf touch /etc/logwatch/conf/ignore.conf touch /etc/logwatch/conf/override.conf mkdir /usr/share/logwatch mkdir /usr/share/logwatch/dist.conf mkdir /usr/share/logwatch/dist.conf/logfiles mkdir /usr/share/logwatch/dist.conf/services mv conf/ /usr/share/logwatch/default.conf mv scripts/ /usr/share/logwatch/scripts mv lib /usr/share/logwatch/lib mkdir /var/cache/logwatch #ログウォッチをcron.dailyに組み込む ln -s /usr/share/logwatch/scripts/logwatch.pl /etc/cron.daily/0logwatch ln -s /usr/share/logwatch/scripts/logwatch.pl /usr/sbin/logwatch #配信テスト /usr/share/logwatch/scripts/logwatch.pl #新規OSインストールの場合はlogwatch.confのRangeをTodayに変更。 #配信確認後設定を戻す。

/etc/log.d以下にファイルやディレクトリが構成されます。下記は重要なファイル

/usr/share/logwatch/default.conf/logwatch.conf	LogWatchの設定ファイル
/usr/share/logwatch/scripts/logwatch.pl	LogWatchの実行スクリプト

/etc/cron.daily以下にLogwatchを一日一回行うシンボリックリンクが出来る（メール配信時間を変更したい場合は/etc/crontabを編集すればよい）

/etc/cron.daily/0logwatch

Logwatchを一日一回行うシンボリックリンク

Logwatchの落とし穴

絶えず来るレポートだから見逃さないで！

Logwatchを導入することによって出来ることはログを収集してレポートにすることのみです。これは、サーバーを運用する上での健康診断書が毎日と届くようなものですが、ただ単にメールボックスにレポートが溜まっていくだけでは意味がありません。まず面倒でもレポートを読むということが大切です。

また、レポートを読む中で日々変化するサーバーの状況をレポートから読み解くことも大切です。既知の不正行為だけを注視するだけでは、そのほかに自分が知り得ない不正行為を手放しで迎え入れることに他なりません。自分で知り得ない内容は調査し理解する必要があります。積極的にログを見る作業を続けることは、現在のサーバのセキュリティレベルなどを実感するよい方法と言えるのではないでしょうか。

来て欲しくないレポート内容

Kernel Errors Present

WARNING: Kernel Errors Present end_request: I/O error, dev 03:07 (hda)...: 3Time(s) hda: dma_intr: error=0x04 { DriveStat...: 3Time(s) hda: dma_intr: error=0x40 { Uncorrect...: 3Time(s) hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }...: 6Time(s)

HD障害。。。
hdaデバイス（HDのA　つまりメインHD）で
I/O error　入出力エラー
error=0x04 { DriveStat...: 3Time(s)　なんだかよくわからないが何かが３回起こっている。。。
error=0x40 { Uncorrect...: 3Time(s)　「正しくない」事が３回起こっている。。。
DriveReady SeekComplete Error }...: 6Time(s)　シーク（探す）の完了がエラー。。。
エラーが起こってしまったディスクは、ログ自体も信用出来なくなってしまうので（ログへの書き込み自体がおかしい場合もあるので）このようなエラーがでると、緊急メンテナンスが必要です。

[TOPへ戻る]