Logcheck installation : Différence entre versions

Version actuelle datée du 29 mars 2010 à 09:07

Installation

(NOTE : logcheck n'est pas dispo en rpm, et ne fonctionne pas en source non plus car il manque le paquet lockfile-progs qui n'est dispo aussi que pour Debian). On utilisera plutôt LogWatch pour les distros type RedHat

apt-get install logcheck logcheck-database

Editer /etc/logcheck/logcheck.conf pour donner un email valide (SENDMAILTO)

Ajouter 3 variables :

MAILATTACK=1
MAILSECURITY=1
# (pas d'envoi de mail pour les évenements systèmes à priori normaux)
MAILSYSTEM=0

Vérifier que

REPORTLEVEL="server"

A la fin, mettre

ADDTAG="yes"

pour que l'objet du mail commence par [logcheck].

Limiter les mails en faux-positif :

Editer /usr/sbin/logcheck. A la fin, modifier les envoi de mail en ajoutant un test selon $MAILxxxx :

# If there are results, mail them to sysadmin
if [ $ATTACK -eq 1 -a $MAILATTACK -eq 1 ]; then
    sendreport "$ATTACKSUBJECT"
elif [ $SECURITY -eq 1 -a $MAILSECURITY -eq 1 ]; then
    sendreport "$SECURITYSUBJECT"
elif [ $SYSTEM -eq 1 -a $MAILSYSTEM -eq 1 ]; then
    sendreport "$EVENTSSUBJECT"
fi

Ajouter un fichier d'exclusions /etc/logcheck/ignore.d.server (voir règles dans freshclam.logcheck.rule, monit.logcheck.rule)

Logcheck se lance toutes les 2 minutes par /etc/cron.d.

Outils personnels

Logcheck installation : Différence entre versions — wikiGite

Rechercher

Navigation

Références

Outils

Logcheck installation : Différence entre versions

De wikiGite

Version actuelle datée du 29 mars 2010 à 09:07

Installation

Limiter les mails en faux-positif :

	La dernière modification de cette page a été faite le 29 mars 2010 à 09:07. Le contenu est disponible sous licence GNU Free Documentation License 1.3 ou ultérieure sauf mention contraire. Politique de confidentialité À propos de wikiGite Avertissements
	Mozilla Cavendish skin modified by DaSch for the Web Community Wiki GitHub project page – Report a bug – Skin version: 2.4.0