Logcheck

From Gentoo Wiki
Jump to: navigation, search
This page is a translated version of the page Logcheck and the translation is 100% complete.

Other languages:
Deutsch • ‎English • ‎español • ‎français • ‎русский • ‎中文(中国大陆)‎ • ‎日本語 • ‎한국어

Esta guía muestra cómo analizar los registros del sistema con logcheck.

Comenzar con logcheck

Preliminares

logcheck es una versión actualizada de logsentry (del paquete sentrytools), que es una herramienta para analizar los registros del sistema. Además logcheck viene con una base de datos de mensajes de registro comunes y sin interés para filtrar el ruido. La idea general de la herramienta es que todos los mensajes son interesantes excepto aquellos marcados explícitamente como ruido. logcheck envía periódicamente un mensaje de correo electrónico con un resumen de los mensajes interesantes.

Instalar logcheck

Importante
Es muy recomendable eliminar logsentry si lo tiene instalado en su sistema. Además, deberá eliminar /etc/logcheck para evitar problemas de permisos y colisiones de ficheros.
root #emerge -c logsentry
root #rm -rf /etc/logcheck

Ahora puede proceder con la instalación de logcheck.

root #emerge --ask app-admin/logcheck

Configuración básica

logcheck crea un usuario propio llamado "logcheck" para evitar que se lance como root. De hecho, no se permitirá la ejecución de logcheck como root. Para permitirle el análisis de los registros, necesitará asegurarse de que logcheck pueda leerlos. A continuación se muestra un ejemplo para syslog-ng:

Code/etc/syslog-ng/syslog-ng.conf snippet

'"`UNIQ--pre-00000001-QINU`"'

This is a deprecated template and will be removed soon!!! Help us update this template!

Ahora recargue la configuración y asegúrese de que los cambios funcionan como se espera.

root #/etc/init.d/syslog-ng reload
root #ls -l /var/log/messages
-rw-r----- 1 root logcheck 1694438 Feb 12 12:18 /var/log/messages

Ahora debería ajustar algunas configuraciones básicas de logcheck en /etc/logcheck/logcheck.conf.

CodeBasic /etc/logcheck/logcheck.conf setup

'"`UNIQ--pre-00000005-QINU`"'

This is a deprecated template and will be removed soon!!! Help us update this template!

También tiene que indicarle a logcheck qué fichero sde registro debe escanear (/etc/logcheck/logcheck.logfiles).

CodeConfiguración básica de /etc/logcheck/logcheck.logfiles

'"`UNIQ--pre-00000008-QINU`"'

This is a deprecated template and will be removed soon!!! Help us update this template!

Por último, habilite el trabajo cron de logcheck.

root #nano -w /etc/cron.hourly/logcheck.cron
Nota
Para más información sobre cron lea guía de Cron.

¡Enhorabuena! Ahora podrá obtener información regular sobre mensajes enviados al registro a través de su dirección de correo electrónico. Un ejemplo tiene este aspecto:

CodeExample logcheck message

'"`UNIQ--pre-0000000B-QINU`"'

This is a deprecated template and will be removed soon!!! Help us update this template!

Resolución de problemas

Consejos generales

Puede usar la opción -d de logcheck para mostrar más información de depuración. Por ejemplo:

root #su -s /bin/bash -c '/usr/sbin/logcheck -d' logcheck
D: [1281318818] Turning debug mode on
D: [1281318818] Sourcing - /etc/logcheck/logcheck.conf
D: [1281318818] Finished getopts c:dhH:l:L:m:opr:RsS:tTuvw
D: [1281318818] Trying to get lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318818] Running lockfile-touch /var/lock/logcheck/logcheck.lock
D: [1281318818] cleanrules: /etc/logcheck/cracking.d/kernel
...
D: [1281318818] cleanrules: /etc/logcheck/violations.d/su
D: [1281318818] cleanrules: /etc/logcheck/violations.d/sudo
...
D: [1281318825] logoutput called with file: /var/log/messages
D: [1281318825] Running /usr/sbin/logtail2 on /var/log/messages
D: [1281318825] Sorting logs
D: [1281318825] Setting the Intro
D: [1281318825] Checking for security alerts
D: [1281318825] greplogoutput: kernel
...
D: [1281318825] greplogoutput: returning 1 D: [1281318825] Checking for security events
...
D: [1281318825] greplogoutput: su
D: [1281318825] greplogoutput: Entries in checked
D: [1281318825] cleanchecked - file: /tmp/logcheck.uIFLqU/violations-ignore/logcheck-su
D: [1281318825] report: cat'ing - Security Events for su
...
D: [1281318835] report: cat'ing - System Events
D: [1281318835] Setting the footer text
D: [1281318835] Sending report: 'localhost 2010-08-09 03:53 Security Events' to root
D: [1281318835] cleanup: Killing lockfile-touch - 17979
D: [1281318835] cleanup: Removing lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318835] cleanup: Removing - /tmp/logcheck.uIFLqU

This page is based on a document formerly found on our main website gentoo.org.
The following people contributed to the original document: phajdan.jr, nightmorph
They are listed here because wiki history does not allow for any external attribution. If you edit the wiki article, please do not add yourself here; your contributions are recorded on each article's associated history page.