https://wiki.kogite.fr/index.php?action=history&feed=atom&title=Logcheck_installation 2026-06-24T01:52:08Z Historique des versions pour cette page sur le wiki MediaWiki 1.30.0 https://wiki.kogite.fr/index.php?title=Logcheck_installation&diff=2448&oldid=prev 2010-03-29T09:07:32Z

<p>Page créée avec « == Installation == (NOTE : logcheck n&#039;est pas dispo en rpm, et ne fonctionne pas en source non plus car il manque le paquet lockfile-progs qui n&#039;est dispo aussi que pour Debi... »</p> <p><b>Nouvelle page</b></p><div>== Installation ==<br /> (NOTE : logcheck n'est pas dispo en rpm, et ne fonctionne pas en source non plus car il manque le paquet lockfile-progs qui n'est dispo aussi que pour Debian). On utilisera plutôt LogWatch pour les distros type RedHat<br /> <br /> apt-get install logcheck logcheck-database<br /> Editer /etc/logcheck/logcheck.conf pour donner un email valide (SENDMAILTO)<br /> <br /> Ajouter 3 variables :<br /> MAILATTACK=1<br /> MAILSECURITY=1<br /> # (pas d'envoi de mail pour les évenements systèmes à priori normaux)<br /> MAILSYSTEM=0<br /> <br /> Vérifier que<br /> REPORTLEVEL=&quot;server&quot;<br /> A la fin, mettre<br /> ADDTAG=&quot;yes&quot;<br /> pour que l'objet du mail commence par [logcheck].<br /> <br /> == Limiter les mails en faux-positif : ==<br /> Editer /usr/sbin/logcheck. A la fin, modifier les envoi de mail en ajoutant un test selon $MAILxxxx :<br /> # If there are results, mail them to sysadmin<br /> if [ $ATTACK -eq 1 -a $MAILATTACK -eq 1 ]; then<br /> sendreport &quot;$ATTACKSUBJECT&quot;<br /> elif [ $SECURITY -eq 1 -a $MAILSECURITY -eq 1 ]; then<br /> sendreport &quot;$SECURITYSUBJECT&quot;<br /> elif [ $SYSTEM -eq 1 -a $MAILSYSTEM -eq 1 ]; then<br /> sendreport &quot;$EVENTSSUBJECT&quot;<br /> fi<br /> <br /> Ajouter un fichier d'exclusions /etc/logcheck/ignore.d.server (voir règles dans freshclam.logcheck.rule, monit.logcheck.rule)<br /> <br /> Logcheck se lance toutes les 2 minutes par /etc/cron.d.</div>

Frank