Logfiles auswerten mit logwatch

Posted on the May 16th, 2007 under allgemein by matthias

Sich durch ein 200MB großes Logfile durchzuwühlen macht nicht wirklich Freude. Um schnell einen Überblick zu bekommen bedarf es einer Zusammenfassung der wichtigsten Ereignisse, die im Logfile erfasst wurden. Unter Debian Etch steht ein Paket namens logwatch bereit, das hier gute Dienste leistet.

Das Programm überzeugt mit einer simplen Syntax – folgendes Kommando gibt einen guten Überblick über heutige Ereignisse des SSH Services:

[sourcecode language="css"]logwatch –print –service sshd –range today –detail 1[/sourcecode]

Auf dem Bildschirm erfolgt eine Ausgabe der fehlgeschlagenen und erfolgreichen Logins, geordnet nach der Anzahl der Versuche. Eine Vielzahl von Filtern für die saubere Ausgabe der Log-Zusammenfassung steht bereits zur Verfügung, unter anderem für folgende Programme und Services:

Der Filter für Postfix gefiel mir nicht so gut, weshalb ich mich auf die Suche nach einem erweiterten Filter für logwatch gemacht habe. Dabei bin ich auf den Filter von Mike Cappella gestoßen. Die Ausgabe ist detaillierter und bietet mehr Unterscheidungskriterien. Die Installation ist vollkommen einfach – nach dem Download und dem Entpacken des Archives muss nur folgender Befehl ausgeführt werden:

[sourcecode language="css"]make install-logwatch[/sourcecode]

Nun kann man mit

[sourcecode language="css"]logwatch –print –service postfix –range today –detail 1[/sourcecode]

eine detaillierte Postfix Statistik erstellen, die sich z.B. im täglichen Turnus per Mail an die Administratoren verschicken lässt.

Links:
logwatch
Download Postfix Filter für logwatch

|

9 Responses to 'Logfiles auswerten mit logwatch'

Subscribe to comments with RSS
  1. 22. May 2007 at 17:41
    mortice

    logwatch –print –service sshd –range today –detail 1

    Ich denke an dieser Stelle ist dir mit –service sshd ein Fehler unterlaufen. Blödes Copy-Paste-Problem-. ;)

    Sonst aber ein netter Artikel.

  2. 22. May 2007 at 17:57
    matthias

    Du hast natürlich Recht – beim zweiten Aufruf muss --service postfix stehen. Ist nun berichtigt.
    Copy & Paste eben ;)

  3. 08. April 2008 at 21:40
    sascha

    Ich kann nur sagen, ganz tolles Script. Sowas habe ich schon immer gesucht. Genau so muss eine Logfileauswertung aussehen. Logcheck schafft das leider nicht so schön.
    Anhand der Auswertung konnte ich Konfigurationsfehler, (z.B. Permanent Failure: Network & Routing Status: Routing loop detected) beheben die mir sonst wahrscheinlich nie aufgefallen wären, trotz Logfiledurchforstung und evtl. überflüssigerweise Rechnerleistung kosten..
    Nur mal kurz zu dem ‘Copy and Paste’ – Fehler. Wer auf seinem Rechner eine Linuxdistribution aufspielt, einen (wirklich ausgezeichneten) MDA installiert (evtl. sogar kompiliert) und dessen LOG-Dateien mit einem schon detailreichen Zusammenfassungs-Script mittels Auswertungsprogramm überprüfen und sich tälich per Mail zustellen lässt, braucht ungefähr 0,27 sek. um zu erkennen, dass dort 2 Minuszeichen hingehören. ;-)
    Frei nach dem Motto: Wer über das Rohr stollpert, hat dort nichts zu suchen. Eine weise Antwort meines ausbildenden Gesellen (und guten Kumpel) in meiner Lehre zum Gas-Wasser-Installateur, auf die Frage des Architekten warum denn die Wasserleitung quer über den Fussboden geht (!!auf!! dem fertigen Boden) :-)
    Ich finde allgemein das Du hier recht interessante Themen und Programme behandelst. Es passiert nicht so oft, wenn ich was zufällig finde, dass ich das sofort ausprobieren bzw in mein Serversystem integrieren nicht nur will sonder auch muss, weil mir mein Gefühl sagt: jenau dad issed.
    Dann kommt jetzt auch noch mein Redefluss dazu. Bin aber fertig. ;-)

    schööö

  4. 09. April 2008 at 07:15
    matthias

    Ist aus meinem Wiki rauskopiert worden, wo das Wiki aus den 2 Minuszeichen 1 gemacht hat. Passiert halt mal.

  5. 09. April 2008 at 19:46
    sascha

    Ich wollte damit ja nur sagen, dass das egal ist. Jemand der sowas braucht, hat so viel wissen, dass er das sofort sieht und weis. Ohne das jemand kleinigkeiten berichtigen muss.

    schööö

  6. 09. April 2008 at 21:29
    matthias

    Achso – jetzt hab ichs richtig verstanden ;)
    Da geb ich dir auf jeden Fall recht. Wer es benötigt und selbst nicht den Fehler erkennen würde, sollte es auch besser nicht nutzen.

  7. 05. August 2008 at 18:57
    honno

    inwiefern ist es besser zb zu awstats?

  8. 05. August 2008 at 23:30
    Stefan

    Awstats hat einen ganz anderen Zweck, damit wertet man z.B. Apache oder IIS-Logfiles aus und keine Sicherheitsrelevanten Logs.

  9. 30. October 2008 at 18:48
    Nightmare

    Hier der neue Link der
    Postfix and Amavisd-new Log Reporting Utilities
    http://www.mikecappella.com/logwatch/

Leave a Reply




XHTML::
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>