Logwatch

Sécuriser son serveur Debian 9 avec Logwatch

Généralités
Installation
Les dossiers et fichiers de configuration
Configuration
Utilisation

Logwatch est un utilitaire vous permettant d'avoir des rapports réguliers sous forme de fichier ou d’email à propos de votre serveur en analysant les logs de ce dernier. Ces rapports comprennent les warnings, erreurs, tentatives de connexion, etc.

Il suffit d'installer le paquet.

apt install logwatch

Par défaut Logwatch installe Postfix (serveur de mail) si vous n'avez pas de service SMTP installé.

Créer le dossier /var/cache/logwatch pour le bon fonctionnement de Logwatch.

mkdir /var/cache/logwatch

Plusieurs répertoires sont utilisés pour la configuration.

/usr/share/logwatch/default.conf/ : pour la configuration générique
/usr/share/logwatch/dist.conf/ : pour la configuration spécifique 
/etc/logwatch/ : pour la machine en elle-même, c'est la que vous ferez votre propre configuration

Sans entrez dans les détails, vous trouverez plusieurs niveaux de configuration.

Configuration de l'application : logwatch.conf
Emplacement des fichiers de log : logfiles/*.conf
Paramètres spécifiques à un service à surveiller : services/*.conf

La customisation de logwatch se fait dans le fichier /usr/share/logwatch/default.conf/logwatch.conf mais il est conseillé de le copier. 
Donc copiez le fichier /usr/share/logwatch/default.conf/logwatch.conf dans /etc/logwatch/conf/ pour faire vos modifications.

cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf

Pour configurer Logwatch il faut éditer le fichier /etc/logwatch/conf/logwatch.conf.

nano /etc/logwatch/conf/logwatch.conf

Pour enregistrer les rapports dans un fichier, les rapports seront enregistrés dans /tmp/logwatch.

Output = file
Filename = /tmp/logwatch

Ou pour envoyer les rapports par emails et l'adresse de destination des mails.

Output = mail
MailTo = root

Le formatage des rapports (format texte ou html)

Format = text

Le niveau de détails des rapports (Low, Med, High ou un nombre de 0=Low à 10=High)

Detail = Med

  • Configuration spécifique à un service

Vous pourriez avoir besoin d'une configuration spécifique à un service et un fichier de log particulier.

Par exemple pour spécifier un niveau de log différent pour le service http.

Copiez des fichiers.

cp /usr/share/logwatch/default.conf/services/http.conf /etc/logwatch/conf/services/
cp /usr/share/logwatch/default.conf/logfiles/http.conf /etc/logwatch/conf/logfiles/

Puis modifier le fichier /etc/logwatch/conf/services/http.conf.

LogDir = /var/log/apache2/
Detail = High

Et le fichier /etc/logwatch/conf/logfiles/http.conf.

LogFile = /var/log/apache2/*access.log

Pour afficher le rapport dans la console

logwatch

Pour envoyer le rapport par mail

logwatch --mailto adresse@domaine.tld --output mail

Pour envoyer le rapport par mail au format html

logwatch --mailto adresse@domaine.tld --output mail --format html

Pour enregistrer le rapport dans un fichier au format texte

logwatch --filename /tmp/logwatch --output file --format text