高レベルのメッセージをすぐに受信するようにLogwatchを設定するにはどうすればよいですか?
(Debian)システムにLogwatchをセットアップしました。郵送などはうまくいきます。
私がしたいのは、システムの日次レポートを1日1回取得することです
そして;
高レベル(ログイン試行の失敗、可能であれば攻撃など)が発生したときにすぐに受信するため。
どの設定を変更し、正確に何を変更する必要がありますか?私はシステムの操作に関してはかなりの初心者であり、Googleで調査を行いましたが、結果はこれまでのところ私を導くだけです。
ありがとうございました。
LogWatchはcronから1日1回実行されます-より頻繁な通知が必要な場合は、LogWatchをより頻繁に実行できますが、これにより、LogWatchのすべてすべてが送信されます。通常は不平を言います。
特定のメッセージを監視する場合は、LogWatchよりも高度なものを使用する必要があります(syslog-ngカスタムフィルター/アクションを使用すると、特に「即時」通知が必要な場合にすぐに頭に浮かびます)、またはより厳しいスケジュールでログファイルをスキャンする独自のツールを作成します。
あなたが望むものに注意してください
すべての「重要な」イベントについて電子メールを送信するようにシステムに要求すると、すぐに圧倒される可能性があります。たとえば、私の個人システムでは1000回以上のログイン試行が失敗しています[〜#〜]今日[〜#〜](過去11時間以内)-私は確かにそれらのそれぞれについて電子メールを送りたくありません:私は十分なスパムを持っています。
適切な監視と警告は、あなたの側でアクションが必要なことについてのみあなたに伝えるべきです(私の経験では、LogWatchはひどいであり、私がノイズが発生しているだけなので、私の環境では完全に無効にしています)-実装するシステムのノイズレベルが非常に低いことを確認してください。そうすれば、アラートを無視するというありふれた罠に陥らないようにできます。常に、それは決して重要ではありません。」.
Debianスクイーズのデフォルトであるrsyslogを使用していると仮定します。
rsyslogのメール出力モジュール を使用して自分にメールを送信します。通常の方法で送信されるメッセージを構成できます。
*.emerg :ommail:;mailBody
または、ログメッセージのテキストを照合します。
if $msg contains 'hard disk fatal failure' then :ommail:;mailBody