Logcheck

Esta guía muestra cómo analizar los registros del sistema con logcheck.

Comenzar con logcheck

Preliminares

logcheck es una versión actualizada de logsentry (del paquete sentrytools), que es una herramienta para analizar los registros del sistema. Además logcheck viene con una base de datos de mensajes de registro comunes y sin interés para filtrar el ruido. La idea general de la herramienta es que todos los mensajes son interesantes excepto aquellos marcados explícitamente como ruido. logcheck envía periódicamente un mensaje de correo electrónico con un resumen de los mensajes interesantes.

Instalar logcheck

Ahora puede proceder con la instalación de logcheck.

Configuración básica

logcheck crea un usuario propio llamado "logcheck" para evitar que se lance como root. De hecho, no se permitirá la ejecución de logcheck como root. Para permitirle el análisis de los registros, necesitará asegurarse de que logcheck pueda leerlos. A continuación se muestra un ejemplo para syslog-ng:

'"`UNIQ--pre-00000001-QINU`"'

This is a deprecated template. Help us update this template!

Ahora recargue la configuración y asegúrese de que los cambios funcionan como se espera.

-rw-r----- 1 root logcheck 1694438 Feb 12 12:18 /var/log/messages

Ahora debería ajustar algunas configuraciones básicas de logcheck en /etc/logcheck/logcheck.conf.

'"`UNIQ--pre-00000005-QINU`"'

This is a deprecated template. Help us update this template!

También tiene que indicarle a logcheck qué fichero sde registro debe escanear (/etc/logcheck/logcheck.logfiles).

'"`UNIQ--pre-00000008-QINU`"'

This is a deprecated template. Help us update this template!

Por último, habilite el trabajo cron de logcheck.

¡Enhorabuena! Ahora podrá obtener información regular sobre mensajes enviados al registro a través de su dirección de correo electrónico. Un ejemplo tiene este aspecto:

'"`UNIQ--pre-0000000B-QINU`"'

This is a deprecated template. Help us update this template!

Resolución de problemas

Consejos generales

Puede usar la opción -d de logcheck para mostrar más información de depuración. Por ejemplo:

D: [1281318818] Turning debug mode on
D: [1281318818] Sourcing - /etc/logcheck/logcheck.conf
D: [1281318818] Finished getopts c:dhH:l:L:m:opr:RsS:tTuvw
D: [1281318818] Trying to get lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318818] Running lockfile-touch /var/lock/logcheck/logcheck.lock
D: [1281318818] cleanrules: /etc/logcheck/cracking.d/kernel
...
D: [1281318818] cleanrules: /etc/logcheck/violations.d/su
D: [1281318818] cleanrules: /etc/logcheck/violations.d/sudo
...
D: [1281318825] logoutput called with file: /var/log/messages
D: [1281318825] Running /usr/sbin/logtail2 on /var/log/messages
D: [1281318825] Sorting logs
D: [1281318825] Setting the Intro
D: [1281318825] Checking for security alerts
D: [1281318825] greplogoutput: kernel
...
D: [1281318825] greplogoutput: returning 1 D: [1281318825] Checking for security events
...
D: [1281318825] greplogoutput: su
D: [1281318825] greplogoutput: Entries in checked
D: [1281318825] cleanchecked - file: /tmp/logcheck.uIFLqU/violations-ignore/logcheck-su
D: [1281318825] report: cat'ing - Security Events for su
...
D: [1281318835] report: cat'ing - System Events
D: [1281318835] Setting the footer text
D: [1281318835] Sending report: 'localhost 2010-08-09 03:53 Security Events' to root
D: [1281318835] cleanup: Killing lockfile-touch - 17979
D: [1281318835] cleanup: Removing lockfile: /var/lock/logcheck/logcheck.lock
D: [1281318835] cleanup: Removing - /tmp/logcheck.uIFLqU

This page is based on a document formerly found on our main website gentoo.org.
The following people contributed to the original document: phajdan.jr, nightmorph
They are listed here because wiki history does not allow for any external attribution. If you edit the wiki article, please do not add yourself here; your contributions are recorded on each article's associated history page.