Logcheck installation

De wikiGite

Installation

(NOTE : logcheck n'est pas dispo en rpm, et ne fonctionne pas en source non plus car il manque le paquet lockfile-progs qui n'est dispo aussi que pour Debian). On utilisera plutôt LogWatch pour les distros type RedHat

apt-get install logcheck logcheck-database

Editer /etc/logcheck/logcheck.conf pour donner un email valide (SENDMAILTO)

Ajouter 3 variables :

MAILATTACK=1
MAILSECURITY=1
# (pas d'envoi de mail pour les évenements systèmes à priori normaux)
MAILSYSTEM=0

Vérifier que

REPORTLEVEL="server"

A la fin, mettre

ADDTAG="yes"

pour que l'objet du mail commence par [logcheck].

Limiter les mails en faux-positif :

Editer /usr/sbin/logcheck. A la fin, modifier les envoi de mail en ajoutant un test selon $MAILxxxx :

# If there are results, mail them to sysadmin
if [ $ATTACK -eq 1 -a $MAILATTACK -eq 1 ]; then
    sendreport "$ATTACKSUBJECT"
elif [ $SECURITY -eq 1 -a $MAILSECURITY -eq 1 ]; then
    sendreport "$SECURITYSUBJECT"
elif [ $SYSTEM -eq 1 -a $MAILSYSTEM -eq 1 ]; then
    sendreport "$EVENTSSUBJECT"
fi

Ajouter un fichier d'exclusions /etc/logcheck/ignore.d.server (voir règles dans freshclam.logcheck.rule, monit.logcheck.rule)

Logcheck se lance toutes les 2 minutes par /etc/cron.d.