Logcheck

From Gentoo Wiki
Jump to: navigation, search
This page is a translated version of the page Logcheck and the translation is 100% complete.

Other languages:
Deutsch • ‎English • ‎español • ‎français • ‎русский • ‎中文(中国大陆)‎ • ‎日本語 • ‎한국어

Ce guide vous explique comment analyser les journaux système avec logcheck.

Démarrer avec logcheck

Arrière-plan

app-admin/logcheck est une mise à jour de app-admin/logsentry, c'est un outil qui permet d'analyser les journaux système. En prime, logcheck est fourni avec une base de données interne de "messages de journaux sans intérêt" dans le but de filtrer le bruit. L'idée générale de l'outil est que tous les messages sont dignes d'intérêt, sauf ceux qui sont explicitement marqués comme étant du bruit. logcheck vous adresse périodiquement un courriel avec un résumé des messages intéressants.

Installer logcheck

Important
Il est vivement recommandé de retirer logsentry s'il est installé sur votre système. De plus, vous devriez retirer /etc/logcheck pour éviter des problèmes d'autorisation d'accès et de collision de fichiers.
root #emerge -c logsentry
root #rm -rf /etc/logcheck

Vous pouvez maintenant procéder à l'installation de logcheck.

root #emerge --ask app-admin/logcheck

Configuration de base

app-admin/logcheck crée un utilisateur séparé "logcheck" pour éviter d'être exécuté en tant que root. En réalité, il refuserait de tourner en tant que root. Pour l'autoriser à analyser les journaux, vous devez vous assurer qu'ils sont lisibles par logcheck. Voici un exemple pour app-admin/syslog-ng :

FILE /etc/syslog-ng/syslog-ng.conf/etc/syslog-ng/syslog-ng.conf snippet
options {
        owner(root);
  
        ## (Make log files group-readable by logcheck)
        group(logcheck);
        perm(0640);
};

Maintenant rechargez la configuration et assurez-vous que les changements fonctionnent comme vous l'espérez.

root #/etc/init.d/syslog-ng reload
root #ls -l /var/log/messages
-rw-r----- 1 root logcheck 1694438 Feb 12 12:18 /var/log/messages

Vous devriez maintenant ajuster quelques réglages de base de logcheck dans /etc/logcheck/logcheck.conf.

FILE /etc/logcheck/logcheck.confConfiguration de base de /etc/logcheck/logcheck.conf
# Contrôle le niveau de filtrage :
# Peut être défini à  "workstation", "server" ou "paranoid" pour différents
# niveaux de filtrage . Prend la valeur  server par défaut.
## (Le niveau workstation inclut server et  server inclut paranoid.
Le niveau  paranoid ne filtre pratiquement aucun message.)
REPORTLEVEL="server"
  
# Contrôle à qui sont adressés les mails:
# *NOTE* le script ne définit pas de valeur par défaut pour cette variable !
# Devrait être définie comme un site extérieur,  "emailaddress@some.domain.tld"
## (Assurez-vous que vous pouvez recevoir les  e-mails de logcheck. Le test est vivement recommandé)
SENDMAILTO="root"
  
# Contrôle si  syslog-summary est exécuté pour chacune des sections.
# En alternative, définissez-le  à "1" pour activer un résumé supplémentaire.
# HINT: syslog-summary doit être installé.
## (Si vous obtenez beaucoup de messages identiques, vous pouvez installer  app-admin/syslog-summary et activer cette option.)
SYSLOGSUMMARY=0

Vous devez aussi dire à logcheck quels journaux analyser ( /etc/logcheck/logcheck.logfiles ).

FILE /etc/logcheck/logcheck.logfilesConfiguration de base de /etc/logcheck/logcheck.logfiles
## (Ceci est un exemple pour syslog-ng)
/var/log/messages

Pour terminer, activez la tâche programmée pour exécuter logcheck.

root #nano -w /etc/cron.hourly/logcheck.cron
Note
Pour plus d'informations sur cron lisez le Cron Guide.

Félicitations ! Vous recevrez désormais les messages des journaux importants par courriel. Un message ressemble à ceci :

CODE Exemple de message de logcheck
System Events

-=-=-=-=-=-

Feb 10 17:13:53 localhost kernel: [30233.238342] conftest[25838]: segfault at 40 ip 40061403 sp bfc443c4 error 4 in libc-2.10.1.so[4003e000+142000] Feb 11 12:31:21 localhost postfix/pickup[18704]: fatal: could not find any active network interfaces Feb 11 12:31:22 localhost postfix/master[3776]: warning: process //usr/lib/postfix/pickup pid 18704 exit status 1 Feb 11 12:31:22 localhost postfix/master[3776]: warning: //usr/lib/postfix/pickup: bad command startup -- throttling

Dépannage

Astuces générales

Vous pouvez utiliser le commutateur -d de logcheck pour afficher plus d'informations de débogage. Exemple :

root #su -s /bin/bash -c '/usr/sbin/logcheck -d' logcheck
D: [1281318818] Turning debug mode on
D: [1281318818] Sourcing - /etc/logcheck/logcheck.conf
D: [1281318818] Finished getopts c:dhH:l:L:m:opr:RsS:tTuvw
D: [1281318818] Trying to get lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318818] Running lockfile-touch /var/lock/logcheck/logcheck.lock
D: [1281318818] cleanrules: /etc/logcheck/cracking.d/kernel
...
D: [1281318818] cleanrules: /etc/logcheck/violations.d/su
D: [1281318818] cleanrules: /etc/logcheck/violations.d/sudo
...
D: [1281318825] logoutput called with file: /var/log/messages
D: [1281318825] Running /usr/sbin/logtail2 on /var/log/messages
D: [1281318825] Sorting logs
D: [1281318825] Setting the Intro
D: [1281318825] Checking for security alerts
D: [1281318825] greplogoutput: kernel
...
D: [1281318825] greplogoutput: returning 1
D: [1281318825] Checking for security events
...
D: [1281318825] greplogoutput: su
D: [1281318825] greplogoutput: Entries in checked
D: [1281318825] cleanchecked - file: /tmp/logcheck.uIFLqU/violations-ignore/logcheck-su
D: [1281318825] report: cat'ing - Security Events for su
...
D: [1281318835] report: cat'ing - System Events
D: [1281318835] Setting the footer text
D: [1281318835] Sending report: 'localhost 2010-08-09 03:53 Security Events' to root
D: [1281318835] cleanup: Killing lockfile-touch - 17979
D: [1281318835] cleanup: Removing lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318835] cleanup: Removing - /tmp/logcheck.uIFLqU

This page is based on a document formerly found on our main website gentoo.org.
The following people contributed to the original document: phajdan.jr, nightmorph
They are listed here because wiki history does not allow for any external attribution. If you edit the wiki article, please do not add yourself here; your contributions are recorded on each article's associated history page.