Surveiller ses logs avec LogWatch

LogWatch est un software vous permettant d'avoir des rapports e-mails réguliers à propos de votre serveur en analysant les logs de ce dernier.

Il est configurable de sorte à ce que le mail soit verbeux ou non, ne concerne que certains services, etc.

Pour installer LogWatch il vous faudra user d'APT :

sudo apt-get install logwatch

Lors de l'installation, si vous n'avez pas de serveur SMTP, il installera postfix automatiquement.

Lors de la configuration choisissez Internet Site.

Modifiez ensuite votre fichier /etc/aliases avec la ligne suivante :

root: monadresse@provider.tld

En adaptant bien évidemment avec l'adresse mail sur laquelle vous souhaitez recevoir les rapports.

Puis, activez le nouvel alias :

sudo newaliases

LogWatch peut être lancé manuellement avec des paramètres au niveau de la ligne de commande.
Mais il a aussi un fichier de configuration /usr/share/logwatch/default.conf/logwatch.conf.

Éditez-le avec votre éditeur de texte favori.

Voici la liste des paramètres que vous pourrez être amené à modifier le plus souvent :

• Range = yesterday

# Le range indique la période sur laquelle LogWatch analyse les LOGS. En l'état, vous recevrez un mail quotidien avec les LOGS du jour précédent.

• MailFrom = Logwatch

# Si vous souhaitez recevoir les LOGS depuis une e-mail bien précise, c'est ici qu'il faut la modifier

• MailTo = root

# À qui envoyer le mail ? Avec la modification précédente, vous recevrez le mail sur la boîte configurée dans /etc/aliases

• Service = All

# Vous permet de définir les services à monitorer

Voici pour les principaux éléments, n'hésitez pas à consulter le fichier de configuration par défaut et la page de man pour en savoir plus !

Sachez que LogWatch peut aussi être lancé manuellement, si vous souhaitez avoir un rapport complet sur le service MySQL à l'instant T par exemple :

logwatch --detail High --mailto root --service mysql --range today