Home > Linuxソフト > Logwatchでサーバ監視レポート

Logwatchでサーバ監視レポート

  • 投稿日2009-06-09 (火)
  • 更新日2009-11-24 (火) 20:50
  • Linuxソフト

Logwatch はlinuxOS上で一日一回サーバ監視レポートメールを送信してくれる便利なツールです。
Logwatchを活用し現在のサーバ状況の確認すれば/var/logなどに格納されているログファイルを
1つ1つ確認する作業を軽減することができます。



ダウンロードはこちらから行うことができます。
http://www.logwatch.org/

Logwatch(ログウォッチ)とは?

Logwatchとはサーバー内のログを解析し、見やすいレポート形式にてメール配信してくれるサーバー側のツールです。Logwatch自体はデーモンではないのでcronで動作させることにより利用することができます。Redhatなどではデフォルトでインストールされるようです。
サーバーによって変わってきますが、シーズサーバーでは、一日一回(早朝)に処理を行っています。

Logwatchが見せてくれるもの

Logwatchが見せてくれるものは様々あります。 下記サンプル
################### LogWatch 7.3.6(06/23/04) ####################
Processing Initiated: Wed Jan 18 06:25:03 2006
Date Range Processed: yesterday
Detail Level of Output: 5
Logfiles for Host: hoge.ahref.org
################################################################

--------------------- Cron Begin ------------------------

Commands Run:
User root:
run-parts --report /etc/cron.hourly: 24 Time(s)

---------------------- Cron End -------------------------

--------------------- pam_unix Begin ------------------------
cron:
Sessions Opened:
root: 1465 Time(s)

sshd:
Sessions Opened:
test : 2 Time(s)

su:
Authentication Failures:
hoge (000) -> root: 2 Time(s)
Sessions Opened:
hoge (uid=000) -> root: 2 Time(s)
(uid=0) -> nobody: 1 Time(s)

---------------------- pam_unix End -------------------------

--------------------- qmail Begin ------------------------

Remote Server Responses:
Success(250) - 1 Time(s)

Percentage(s):
Success - 100.00 %

---------------------- qmail End -------------------------

--------------------- SSHD Begin ------------------------

Users logging in through sshd:
hoge:
hoge .ahref.org (192.168.1.1): 2 times

Refused incoming connections:
192.168.1.123 (192.168.1.123): 2 Time(s)

---------------------- SSHD End -------------------------

------------------ Disk Space --------------------

/dev/hda5 2G 63M 787M 8% /
/dev/hda1 177M 9.2M 158M 6% /boot
/dev/hda7 72G 46M 68G 1% /home
/dev/hda2 19G 791M 17G 5% /usr
/dev/hda3 19G 100M 18G 1% /var

###################### LogWatch End #########################
  • Cron 定時に行われているCron処理のユーザー及びその内容
  • pam_unix Linuxのpam認証においての認証成功または失敗
  • kernel kernelにおける起動またはエラー
  • qmail mail
  • SSHD Linuxのssh認証においての認証成功または失敗
  • Disk Space Linuxのディスクスペース使用状況
  • Connections (ecure-log) ユーザー追加時など
  • その他 ログ採取レベルまたはLinux環境応じて変化します
Logwatchが配信してくれるレポートで 特に注意が必要な項目は 「SSHD」「pam_unix」「Disk Space」「kernel 」あたりではないでしょうか。 「SSHD」にて自分がSSHD接続を許可していないユーザーなどがSessions Openedになっていた場合は不正アクセスの可能性があります。 また上記には記載されていませんがハードウェアの異常など示す「kernel」なども注意が必要です。

Logwatchのインストール

Logwatchのインストールは下記に記入します。今回はソースインストールを行いました。
■logwatch 7.3.6 インストール
wget http://www.stellarcore.net/logwatch/pub/linux/logwatch-7.3.6.tar.gz
tar xvfz logwatch-7.3.6.tar.gz
cd logwatch-7.3.6

mkdir /etc/logwatch
mkdir /etc/logwatch/scripts
mkdir /etc/logwatch/conf
mkdir /etc/logwatch/conf/logfiles
mkdir /etc/logwatch/conf/services
touch /etc/logwatch/conf/logwatch.conf
touch /etc/logwatch/conf/ignore.conf
touch /etc/logwatch/conf/override.conf

mkdir /usr/share/logwatch
mkdir /usr/share/logwatch/dist.conf
mkdir /usr/share/logwatch/dist.conf/logfiles
mkdir /usr/share/logwatch/dist.conf/services

mv conf/ /usr/share/logwatch/default.conf
mv scripts/ /usr/share/logwatch/scripts
mv lib /usr/share/logwatch/lib

mkdir /var/cache/logwatch
ログウォッチをcron.dailyに組み込む
ln -s /usr/share/logwatch/scripts/logwatch.pl /etc/cron.daily/0logwatch
ln -s /usr/share/logwatch/scripts/logwatch.pl /usr/sbin/logwatch
配信テスト
/usr/share/logwatch/scripts/logwatch.pl
新規OSインストールの場合はlogwatch.confのRangeをTodayに変更。
配信確認後設定を戻す。

/etc/log.d以下にファイルやディレクトリが構成されます。下記は重要なファイル
/usr/share/logwatch/default.conf/logwatch.conf     LogWatchの設定ファイル
/usr/share/logwatch/scripts/logwatch.pl     LogWatchの実行スクリプト
/etc/cron.daily以下にLogwatchを一日一回行うシンボリックリンクが出来る(メール配信時間を変更したい場合は/etc/crontabを編集すればよい)
/etc/cron.daily/0logwatch     Logwatchを一日一回行うシンボリックリンク

Logwatchの落とし穴

絶えず来るレポートだから見逃さないで!

Logwatchを導入することによって出来ることはログを収集してレポートにすることのみです。これは、サーバーを運用する上での健康診断書が毎日と届くようなものですが、ただ単にメールボックスにレポートが溜まっていくだけでは意味がありません。まず面倒でもレポートを読むということが大切です。

また、レポートを読む中で日々変化するサーバーの状況をレポートから読み解くことも大切です。既知の不正行為だけを注視するだけでは、そのほかに自分が知り得ない不正行為を手放しで迎え入れることに他なりません。自分で知り得ない内容は調査し理解する必要があります。積極的にログを見る作業を続けることは、現在のサーバのセキュリティレベルなどを実感するよい方法と言えるのではないでしょうか。

来て欲しくないレポート内容

Kernel Errors Present

WARNING: Kernel Errors Present
end_request: I/O error, dev 03:07 (hda)...: 3Time(s)
hda: dma_intr: error=0x04 { DriveStat...: 3Time(s)
hda: dma_intr: error=0x40 { Uncorrect...: 3Time(s)
hda: dma_intr: status=0x51 { DriveReady SeekComplete Error }...: 6Time(s)
HD障害。。。
hdaデバイス(HDのA つまりメインHD)で
I/O error 入出力エラー
error=0×04 { DriveStat…: 3Time(s) なんだかよくわからないが何かが3回起こっている。。。
error=0×40 { Uncorrect…: 3Time(s) 「正しくない」事が3回起こっている。。。
DriveReady SeekComplete Error }…: 6Time(s) シーク(探す)の完了がエラー。。。
エラーが起こってしまったディスクは、ログ自体も信用出来なくなってしまうので(ログへの書き込み自体がおかしい場合もあるので)このようなエラーがでると、緊急メンテナンスが必要です。




コメント:0

コメントフォーム
情報を保存

トラックバック:1

この記事のトラックバックURL
http://www.ahref.org/tech/server/linuxsoft/88.html/trackback
この記事へのリンク
エーエイチレフ linuxサーバー技術情報 からの記事 Logwatchでサーバ監視レポート
pingback from SSHのインストールと設定 - linuxサーバー技術情報 09-06-30 (火) 12:40

[...] Newer [...]

Home > Linuxソフト > Logwatchでサーバ監視レポート

運営

フリーCGI配布サイト


WEBシステム総合会社

株式会社シーズ

カテゴリー
最近の記事
SEEDSのサービス


ワンストップサポートのレンタルサーバー
AC-SERVER(エーシーサーバー)


大容量ファイル転送サービス デカメール
最大2Gのファイルを高速送信!


サイトリニューアル!無料の高性能メルマガ配信CGIソフトacmailer


動画ポータルコミュニティ モヴィエ
ケータイでYouTubeも見れるヨ♪


スライドショー作成サイト みんふぉと
RSS Feed

Return to page top

運営会社(株)シーズ WEBアプリケーション、フリーCGI配布「ahref(エーエイチレフ)」 Eビジネスに強いレンタルサーバー「ACサーバー」 大容量ファイル転送サービス「デカメール」 動画を楽しもう♪動画ポータルコミュニティ「モヴィエ」