用 Logwatch 工具監控 Linux 系統 Log 日誌(zt)

作者: Fenng | 可以轉載, 轉載時務必以超連結形式標明文章原始出處和作者資訊及版權宣告
網址:

如果要想迅速的得到 Linux 環境中的日誌報告資訊, Logwatch 是一個很好的工具.

[@more@]

一般的 Linux 系統中可能都預設安裝了這個工具.幾乎不需要額外的配置就可以簡單的用起來.

# logwatch --print這條命令將會把昨天的日誌資訊簡要的列印出來. 比如使用者登入失敗資訊、SSH 登入資訊、磁碟空間使用等.

單獨檢視某個服務，比如 SSH 登入資訊:

# logwatch --service sshd --print這條命令可以檢視使用說明:

# logwatch --help最新版本的 LogWatch 預設有 70 多種 Log 的配置資訊. 如果要對自己的特殊 Log 做監控, 定製也是比較容易的。簡單記錄一下：

基本的做法:

1) 建立一個日誌檔案組。指定自己的 Log 檔案,可以是一個，可以是多個;
2) 建立一個新的服務。指明這個服務的名字, 指明 Log 檔案來源(來自上一步的定義);
3) 建立一個過濾指令碼;

整個原理就是，LogWatch 首先要知道針對哪一個服務, 從這個服務中得到需要處理的 Log 檔案資訊, 然後這個檔案送給過濾指令碼處理, 之後把處理後格式化的資訊展現出來;

出於時間關係，例子就不給了。

安全:

LogWatch 舊版本 2.11 有個著名的漏洞:臨時目錄建立處理中存在競爭條件漏洞。這裡有溢位程式碼:Root Compromise through LogWatch

其他: LogWatch 報告的是 Log 資訊的歷史資料，如果要實時監控 Log,可以考慮用 Swatch.