我已经在我的(Debian)系统上build立了Logwatch。 邮寄等运作良好。
我想要的是每天一次获得系统的日常报告
和;
接收任何高级别(失败的login尝试,攻击 – 如果可能的话)等等。
我需要修改和修改哪些设置? 在系统工作方面,我是一个新手,我在Google上做了一些研究,但结果只是引导我到目前为止。
谢谢。
LogWatch每天运行一次,从cron – 如果你想要更频繁的通知,你可以更频繁地运行LogWatch,但是这会给你一切 LogWatch通常所抱怨的事情。
如果你想观察特定的消息,你应该使用比LogWatch更复杂的东西(具有自定义filter/操作的syslog-ng立即出现,特别是如果你想要“即时”通知的话),或者编写你自己的工具来扫描日志档案更紧张的时间表。
要求你的系统向你发送每一个“重要”事件的电子邮件,很快就会变得难以抗拒。 例如, 今天 (过去11个小时)我的个人系统上有超过1000次失败的login尝试 – 我当然不想通过电子邮件发送给每个人:我有足够的垃圾邮件。
正确的监测和警报应该只是告诉你需要采取行动的事情(根据我的经验,LogWatch 非常糟糕 ,直到我在环境中完全禁用它,因为它只是产生噪音) – 确保不pipe你实施的系统噪声水平非常低,所以你不会陷入忽视警报的常见陷阱,因为“我总是看到这一点,而且它永远不重要”。
假设你正在使用rsyslog,这是Debian挤压的默认值:
使用rsyslog的邮件输出模块发送自己的电子邮件。 你可以configuration哪些消息以通常的方式发送给你:
*.emerg :ommail:;mailBody
或通过匹配日志消息中的文本:
if $msg contains 'hard disk fatal failure' then :ommail:;mailBody