ログ分析してレポートするツール logwatch

ログ分析ツール Logwatch の紹介です。
Linuxサーバを管理していると、毎日ログをチェックするのは大変です。
しかしチェックを怠ると、サーバに問題が発生していても見逃すことになるので、手を抜くことも出来ません。
そこで、ログを見やすい形式にしてメールでレポートしてくれる logwatch がログチェックの助けになります。

logwatch を導入後、logwatchがログを分析して、下記のようなレポートを毎日メールしてきます。
以下の例では、sshへの接続で認証に失敗した接続元、ユーザ、回数がレポートされています。
また postfix でのメール送信の接続数、送信成功した割合がレポートされています。
logwatchにより、sshやpostfixのログがこのように分かりやすくレポートされます。

--------------------- pam_unix Begin ------------------------ 
 sshd:
    Authentication Failures:
       root (xxx.xxx.xxx.xxx): 4 Time(s)
       root (xxx.xxx.xxx.xxx): 2 Time(s)
 
 ---------------------- pam_unix End ------------------------- 
 
 --------------------- Postfix Begin ------------------------ 
  389.806K  Bytes accepted                             399,161
  729.421K  Bytes sent via SMTP                        746,927
  384.323K  Bytes delivered                            393,547
 ========   ==================================================
 
       65   Accepted                                   100.00%
 --------   --------------------------------------------------
       65   Total                                      100.00%
 ========   ==================================================
 
      208   Connections             
      208   Disconnections          
      112   Removed from queue      
       75   Delivered               
      235   Sent via SMTP           
 
 ---------------------- Postfix End ------------------------- 

CentOS6でのインストールは以下で行います。root で作業してください。

yum install logwatch

yumでインストールした logwatch はログ解析用スクリプトが古いので、新しいものを入手して更新します。

まず以下の logwatch のページから logwatch をダウンロードします。2013年10月15日時点での最新版は logwatch-7.4.0.tar.gz です。

Logwatch | Free System Administration software downloads at SourceForge.net

次の手順で解凍し、ログ解析用スクリプトをコピーして更新します。

tar zxvf logwatch-7.4.0.tar.gz
cd logwatch-7.4.0
chmod -x scripts/services/*
cp scripts/services/* /etc/logwatch/scripts/services/

以上でインストールは完了です。

設定は /etc/logwatch/conf/logwatch.conf を編集して行います。
デフォルトの設定が /usr/share/logwatch/default.conf/logwatch.conf にあり、デフォルトから変更する設定を /etc/logwatch/conf/logwatch.conf に記述します。

MailTo でログ分析レポートを送付するメールアドレスを指定します。
レポート不要なサービスは Service = -サービス名 のように、サービス名の先頭に – を付けます。

/etc/logwatch/conf/logwatch.conf

MailTo = xxxxxxx
Service = All
Service = -Dovecot
Service = -zz-disk_space

設定を確認するには、以下コマンドを実行してください。
メール送付と同じ内容が、画面に表示されます。

logwatch --print

参考

Logwatch | Free System Administration software downloads at SourceForge.net
ClamavのUnmatched Entriesについて
ログ監視ツール logwatch のインストールと設定 ～ CentOS6 | EasyRamble