Hoje em dia qualquer pessoa que tenha uma VPS, uma dedicada ou simplesmente utiliza seu computador pessoal para servir arquivos na internet fica preocupado com uma possível violação do sistema, principalmente os marinheiros de primeira viagem, que não tem muita experiência na administração do sistema em questão.
O linux grava logs de várias atividades executadas no sistema e analisando estes logs regularmente você consegue verificar atividades suspeitas, e tomar atitudes a respeito, porém, nem sempre temos tempo de ficar acessando a máquina e verificar os logs, por este motivo a algum tempo eu utilizo o LogWatch, um programa do linux que me envia os logs das VPS’s por email, e nesse post eu vou explicar como instalar e configurar esse carinha.
primeiramente você vai precisar instalar o logwatch, supondo que você esteja usando o CentOS/RedHat o comando a ser executado é o seguinte:
[code language=”bash”]
yum install -y logwatch
[/code]
caso o seu sistema seja baseado em Debian (Ubuntu, Mint ou o próprio Debian) use o comando:
[code language=”bash”]
aptitude install -y logwatch
[/code]
com esse simples comando o logwatch já estará instalado no seu sistema, agora basta configurar, para isso navegue até o diretório do arquivo de configuração com o seguinte comando:
[code language=”bash”]
cd /usr/share/logwatch/default.conf/services
[/code]
use seu editor de texto favorito para editar o arquivo zz-disk_space.conf, no meu caso geralmente uso o VI, e descomente as variáveis conforme abaixo.
[code language=”bash”]
#New disk report options
#Uncomment this to show the home directory sizes
$show_home_dir_sizes = 1
$home_dir = "/home"
#Uncomment this to show the mail spool size
$show_mail_dir_sizes = 1
$mail_dir = "/var/spool/mail"
#Uncomment this to show the system directory sizes /opt /usr/ /var/log
$show_disk_usage = 1
[/code]
Agora será necessário editar o arquivo logwatch.conf, esse arquivo armazena as configurações gerais do logwatch e fica no diretório /usr/share/logwatch/default.conf/
para editar o arquivo pode ser usado o seguinte comando:
[code language=”bash”]
vi /usr/share/logwatch/default.conf/logwatch.conf
[/code]
apesar do arquivo ser auto-explicativo, as principais opções para alterar são:
Mailto = root, altere para o email que você quer receber os reports diários
MailFrom = Logwatch, altere para o email que vai aparecer como remetente da mensagem
Range = yesterday, esta opção indica o tamanho dos logs que você vai receber, para receber os logs do dia use today, para receber os logs do dia anterior deixe yesterday e para receber sempre os logs de todos os dias (não recomendado) use a opção all.
Detail = Low, esta opção indica o nível de detalhes dos reports gerados pelo Logwatch, eu sempre uso a opção High.
depois disso salve, feche o vi (ctrl+zz fora do modo de edição) e faça o teste usando o comando:
[code language=”bash”]
logwatch –detail High –mailto email@seudominio.com –range today
[/code]
Depois de executar este comando você deve receber o log do logwatch no seu email, por padrão o Logwatch se instala nos jobs diários do cron, o que faz com que você receba os logs diariamente.
Monitorando seu servidor linux com Logwatch,