Logwatchでサーバ監視レポート

Logwatch はlinuxOS上で一日一回サーバ監視レポートメールを送信してくれる便利なツールです。
Logwatchを活用し現在のサーバ状況の確認すれば/var/logなどに格納されているログファイルを
1つ1つ確認する作業を軽減することができます。

ケータイ・セカンドライフ対応
動画共有サイト「モヴィエ」 		大容量ファイル転送サービス
デカメール 		エーエイチレフ運営
株式会社シーズ

Logwatch(ログウォッチ)とは?

サーバ内のログをレポート形式にてメールで配信してくれる

Logwatchとはサーバー内のログを解析し、見やすいレポート形式にてメール配信してくれるサーバー側のツールです。Logwatch自体はデーモンではないのでcronで動作させることにより利用することができます。Redhatなどではデフォルトでインストールされるようです。
サーバーによって変わってきますが、シーズサーバーでは、一日一回(早朝)に処理を行っています。



Logwatchが見せてくれるもの

■Logwatchが見せてくれるものは様々あります。 下記サンプル

################### LogWatch 5.2.2 (06/23/04) ####################
Processing Initiated: Wed Jan 18 06:25:03 2006
Date Range Processed: yesterday
Detail Level of Output: 5
Logfiles for Host: hoge.ahref.org
################################################################

--------------------- Cron Begin ------------------------

Commands Run:
User root:
run-parts --report /etc/cron.hourly: 24 Time(s)

---------------------- Cron End -------------------------


--------------------- pam_unix Begin ------------------------
cron:
Sessions Opened:
root: 1465 Time(s)

sshd:
Sessions Opened:
test : 2 Time(s)

su:
Authentication Failures:
hoge (000) -> root: 2 Time(s)
Sessions Opened:
hoge (uid=000) -> root: 2 Time(s)
(uid=0) -> nobody: 1 Time(s)

---------------------- pam_unix End -------------------------


--------------------- qmail Begin ------------------------


Remote Server Responses:
Success(250) - 1 Time(s)

Percentage(s):
Success - 100.00 %

---------------------- qmail End -------------------------


--------------------- SSHD Begin ------------------------

Users logging in through sshd:
hoge:
hoge .ahref.org (192.168.1.1): 2 times

Refused incoming connections:
192.168.1.123 (192.168.1.123): 2 Time(s)

---------------------- SSHD End -------------------------

------------------ Disk Space --------------------

/dev/hda5 2G 63M 787M 8% /
/dev/hda1 177M 9.2M 158M 6% /boot
/dev/hda7 72G 46M 68G 1% /home
/dev/hda2 19G 791M 17G 5% /usr
/dev/hda3 19G 100M 18G 1% /var


###################### LogWatch End #########################

  • Cron (定時に行われているCron処理のユーザー及びその内容)
  • pam_unix (Linuxのpam認証においての認証成功または失敗)
  • kernel (kernelにおける起動またはエラー)
  • qmail(mail)
  • SSHD (Linuxのssh認証においての認証成功または失敗)
  • Disk Space (Linuxのディスクスペース使用状況)
  • Connections (secure-log)(ユーザー追加時など)
  • その他(ログ採取レベルまたはLinux環境応じて変化します)

Logwatchが配信してくれるレポートで 特に注意が必要な項目は 「SSHD」「pam_unix」「Disk Space」「kernel 」あたりではないでしょうか。「SSHD」にて自分がSSHD接続を許可していないユーザーなどがSessions Openedになっていた場合は不正アクセスの可能性があります。また上記には記載されていませんがハードウェアの異常など示す「kernel」なども注意が必要です。


Logwatchのインストール

Logwatchのインストールは下記に記入します。今回はソースインストールを行いました。

#■logwatch 5.2.2 インストール

wget ftp://ftp.kaybee.org/pub/old/linux/logwatch-5.2.2.tar.gz
tar xvfz logwatch-5.2.2.tar.gz
cd logwatch-5.2.2

mkdir /etc/log.d
cp -rp scripts/ /etc/log.d
cp -rp conf/ /etc/log.d
cp -rp lib/ /etc/log.d

#ログウォッチをcron.dailyに組み込む
ln -s /etc/log.d/scripts/logwatch.pl /etc/cron.daily/

#配信テスト
/etc/log.d/scripts/logwatch.pl
#新規OSインストールの場合はlogwatch.confのRangeをTodayに変更。
#配信確認後設定を戻す。


/etc/log.d以下にファイルやディレクトリが構成されます。下記は重要なファイル
/etc/log.d/conf/logwatch.conf LogWatchの設定ファイル
/etc/log.d/scripts/logwatch.pl LogWatchの実行スクリプト

/etc/cron.daily以下にLogwatchを一日一回行うシンボリックリンクが出来る(メール配信時間を変更したい場合は/etc/crontabを編集すればよい)
/etc/cron.daily/logwatch.pl Logwatchを一日一回行うシンボリックリンク



Logwatchの落とし穴


絶えず来るレポートだから見逃さないで!

Logwatchを導入することによって出来ることはログを収集してレポートにすることのみです。これは、サーバーを運用する上での健康診断書が毎日と届くようなものですが、ただ単にメールボックスにレポートが溜まっていくだけでは意味がありません。まず面倒でもレポートを読むということが大切です。

また、レポートを読む中で日々変化するサーバーの状況をレポートから読み解くことも大切です。既知の不正行為だけを注視するだけでは、そのほかに自分が知り得ない不正行為を手放しで迎え入れることに他なりません。自分で知り得ない内容は調査し理解する必要があります。積極的にログを見る作業を続けることは、現在のサーバのセキュリティレベルなどを実感するよい方法と言えるのではないでしょうか。




来て欲しくないレポート内容
Kernel Errors Present

WARNING: Kernel Errors Present
end_request: I/O error, dev 03:07 (hda)...: 3Time(s)
hda: dma_intr: error=0x04 { DriveStat...: 3Time(s)
hda: dma_intr: error=0x40 { Uncorrect...: 3Time(s)
hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }...: 6Time(s)




ご意見、ご質問、間違いの訂正等大歓迎です。imailto:info@ahref.org



©2002ahref.org