CentOS7にLogWatchを導入する

投稿日:2016年08月28日
最終更新日:

自分でroot権限を握ってサーバーを管理する場合は、サーバーを乗っ取られないように細心の注意を払う必要があります。ログチェックはサーバー防御に重要な役割を果たしますが、自分で毎日ログを眺めるのははっきり言って苦行です。LogWatchを導入すれば、ログを見やすいレポートにまとめて、メールで送ってくれます。

もくじ

  • LogWatchのインストール
  • 設定ファイルの編集
  • レポートを眺めてみる

LogWatchのインストール

LogWatchのインストールはコマンド一発でOKです。 [VIM] sudo yum install logwatch [/VIM]

設定ファイルの編集

設定ファイルを編集しましょう。レポート送信先メールアドレスもここで設定します。 [VIM] sudo vim /usr/share/logwatch/default.conf/logwatch.conf #編集内容 #44行目 MailTo = hoge@hoge.com (ログレポート送信先のメールアドレスをセットする) MailTo = root #77行目 レポートの詳細度の設定(Low or Med or High)。必要に応じて Detail = Low [/VIM] だいたいこの辺を設定すればいいと思います。

注:ログレポートをメールで送信させるためには、SMTPサーバーを構築する必要があります。SSH経由のログインでログレポートを見るコマンドは、 [VIM] sudo logwatch –output stdout [/VIM]

レポートを眺めてみる

それではどのようなレポートが出力されるのかを眺めてみることにします。 [VIM] ################### Logwatch 7.3.6 (05/19/07) #################### Processing Initiated: Tue Mar 1 04:02:07 2016 Date Range Processed: yesterday ( 2016-Feb-29 ) Period is day. Detail Level of Output: 10 Type of Output: unformatted Logfiles for Host: (サーバーのホスト名) ################################################################## ——————— Cron Begin ———————— Commands Run: User hoge: /usr/bin/php-cgi $DOC_ROOT/hoge/piyo/fuga.php: 144 Time(s) ionice -c3 nice -n19 find /home/hoge/session/ -type f -name sess_* -mmin +60 | xargs rm: 8 Time(s) User root: [ ! -f /etc/cron.hourly/0anacron ] && run-parts /etc/cron.daily: 1 Time(s) run-parts /etc/cron.hourly: 24 Time(s) ———————- Cron End ————————- ——————— pam_unix Begin ———————— sshd: Sessions Opened: koguma: 1 Time(s) ———————- pam_unix End ————————- ——————— SSHD Begin ———————— SSHD Killed: 1 Time(s) SSHD Started: 2 Time(s) Users logging in through sshd: hogehoge: 203.0.113.2 (接続元のホスト名): 1 time Received disconnect: 11: disconnected by server request 203.0.113.28 : 1 Time(s) ———————- SSHD End ————————- ——————— Sudo (secure-log) Begin ———————— ============================================================================== hogehoge => root ————– /usr/bin/yum update ———————- Sudo (secure-log) End ————————- ——————— yum Begin ———————— Packages Updated: glibc-2.12-1.166.el6_7.7.x86_64 glibc-common-2.12-1.166.el6_7.7.x86_64 glibc-headers-2.12-1.166.el6_7.7.x86_64 glibc-devel-2.12-1.166.el6_7.7.x86_64 ———————- yum End ————————- ——————— Disk Space Begin ———————— Filesystem Size Used Avail Use% Mounted on /dev/vda3 97G 46G 46G 51% / /dev/vda1 239M 161M 65M 72% /boot ———————- Disk Space End ————————- ###################### Logwatch End ######################### [/VIM]

一番頭には日付やサーバーのホスト名などが記述されます。今回のものは、上から

  • CRON実行履歴 (Cron)
  • PAM認証履歴 (pam_unix)
  • SSHログイン履歴 (SSHD)
  • sudoコマンドの使用履歴 (Sudo (secure-log))
  • yumの履歴 (yum)
  • ディスクの空き容量 (Disk Space)
が記述されています。身に覚えのないSSHログイン履歴とかが発生しないように気をつけたいものです。

参考リンク

その他関連記事

  1. CentOS6でcronを使いはじめる メモ
  2. CentOS7でプログラムの優先度を変更するやり方メモ
  3. CentOS7の仮想サーバー構築にチャレンジ その5
  4. さくらのVPSでCentOS7のサーバーを構築する 番外編…Cron(noanacron)をインストールする
  5. CentOS7の仮想サーバー構築にチャレンジ その10
  6. CentOS7にサードパーティリポジトリを導入する
  7. CentOS7にアンチウイルスソフト「Clam AntiVirus」を導入する
投稿者名: Koguma

このブログを応援する・寄付する

当ブログでは暗号通貨による寄付を募っております。

モナゲボタン モナゲボタン

Bitcoin:

Monacoin:

Litecoin: