logwatchインストール&設定と見方 – マイティーサーバー
Logwatch(ろぐうぉっち)は、日夜活動しているサーバーが出力するログから特定のパターンを含む行を比較的見やすい状態に加工してメール送信させるとても便利なツールです。
Logwatch自体はデーモンではないのでcronで動作させることにより利用することができます。
logwatchのインストール
# yum install logwatch
送信テスト
# logwatch
もし、メールが届かなかったらrootのメールアドレスが設定されていないことが疑われる
Webminなどで、rootのメールアドレスを設定する
aliasesファイルの修正例
# vi /etc/aliases
root: root@example.com
〜・〜・〜・〜・〜・〜・〜・〜・〜・〜・〜
Logwatchの見方
バージョンや設定によって出力される内容が変わりますが、送信されてくるメール内容のいくつかの読み方というか見方を良く忘れちゃうのでメモっておきます。
httpd Begin ~ httpd End
Webサーバ(Apache)のログファイル(access_log、error_logなど)の設定されている問題のあると思われる部分が出力されています。
良く見かけるのはHTTPステータスコードが404のファイルで、存在しないファイルが読み出され、不要なアクセスが行われている事が分ります。
これらを元にHTMLが適切に記載されリンク切れが起きていないか等をあぶり出して修正等に利用します。
※SEOの為にもしっかりフォローしよう!
Cron Begin ~ Cron End
定時自動実行を行うcronのログファイルより実行されたジョブ(シェルスクリプトなど)が分ります。
この出力から意図していないジョブが実行されていないかチェックします。
ftpd-xferlog Begin ~ ftpd-xferlog End
FTPサーバの動作状況が、どれだけのデータ送信転送量(TOTAL KB OUT)、データ受信転送量(TOTAL KB IN)などが分ります。
この出力から意図していないホストとの接続やデータ転送が行われていないかをチェックします。
pam_unix Begin ~ pam_unix End
認証、アカウント管理、セッション管理、パスワード管理に関するログより怪しい実行履歴が分ります。
この出力より、サーバーへのSSHによる不正アクセスや、意図していないユーザへのスイッチなどを把握します。
「sshd: Authentication Failures:」などは、ログインに失敗している内容を示しており、複数行に渡るログとして記録される事は望ましくありません。
これらの好ましく無い情報を元にアクセス制限を行う材料にしています。
SSHD Begin ~ SSHD End
SSHでのサーバーへの接続された履歴が分ります。
接続が成功したアクセス元のIPアドレスと接続回数が出力されているので、不審なアクセスがないかを確認します。
また、アクセス制限を行っている場合は、拒否したアクセス元のIPアドレスと接続回数が出力されます。
Disk Space Begin 〜 Disk Space End
サーバーのディスクスペース使用状況が分ります。
Loading ... 2009年12月16日 |
 webシステム開発・運用・保守 |
 627PV |
  (0) (0) (0) (0)Total: 0 |
 トラックバック(0) |
| コメント(0) |