Zum Thema Monitoring, Server\u00fcberwachung und Intrusion Detection System (IDS) habe ich mir in den letzten Wochen ein paar Gedanken gemacht und neue Software ausprobiert. Ich habe das Thema noch nicht abgeschlossen und teste von Zeit zu Zeit noch das ein oder andere Programm an, was mir bei dieser Aufgabe f\u00fcr meinen Server helfen k\u00f6nnte. Heute stelle ich Logwatch n\u00e4her vor.<\/p>\n
Zur Zeit benutze ich Monit<\/a> zur \u00dcberwachung von Prozessen wie Lighttpd oder den Spieleservern. Es kam in der Vergangenheit bei OpenArena z.B vor, dass der Server wegen eines unbekannten Fehlers<\/a> unregelm\u00e4\u00dfig gecrasht ist. Dank Monit wird der Server automatisch neugestartet. F\u00fcr einen tiefergehenden Einblick in die Materie empfehle ich einen Blick in Howto-Customize-Logwatch.gz und Readme.Debian in \/usr\/share\/doc\/logwatch\/<\/em> zu werfen. Das Konzept der Konfiguration ist dort ausf\u00fchrlich beschrieben. \/usr\/share\/logwatch\/default.conf\/logfiles\/http.conf --><\/strong> \/etc\/logwatch\/conf\/logfiles\/ Meine http.conf<\/a> f\u00fcr logfiles. LogFile = lighttpd\/linuxiuvat.de\/*access.log.1<\/p><\/blockquote>\n wird der relative Pfad zu \/var\/log und meinen Logdateien festgelegt, wobei es noch drei weitere Zeilen in dieser Form gibt, die auf die anderen Logdateien verweisen. $HTTP_USER_DISPLAY = \"$field{http_rc} >= 400\"<\/p><\/blockquote>\n womit alle HTTP-Fehlermeldungen >= 400 angezeigt werden.<\/p>\n In \/etc\/logwatch\/conf<\/em> kann man die Datei override.conf anlegen, womit sich die globalen Einstellungen aus logwatch.conf \u00fcberschreiben lassen. Ich brauchte z.B. nicht den Output des Service Iptables.<\/p>\n logwatch: Service = \"-iptables\"<\/p><\/blockquote>\n Mit dem Schl\u00fcsselbegriff logwatch: wird die Ver\u00e4nderung eingeleitet, danach folgt der Name der Variable und der Wert. Weitere Ideen, was sich manipulieren l\u00e4sst, finden sich in logwatch.conf.<\/p>\n Das Kopieren und Editieren der Konfiguration ist bei Logwatch erst einmal Gew\u00f6hnungssache. Der Vorteil liegt darin, dass die Originaldateien unangetastet bleiben und man alles ordentlich dort hat, wo es hingeh\u00f6rt, in \/etc. Wer viele Ver\u00e4nderungen vornehmen muss und diese auf mehrere Server anwendet, sollte besser \u00fcber eine Neukompilierung des Pakets nachdenken. Zum Thema Monitoring, Server\u00fcberwachung und Intrusion Detection System (IDS) habe ich mir in den letzten Wochen ein paar Gedanken gemacht und neue Software ausprobiert. Ich habe das Thema noch nicht abgeschlossen und teste von Zeit zu Zeit noch das ein oder andere Programm an, was mir bei dieser Aufgabe f\u00fcr meinen Server helfen k\u00f6nnte. Heute … <\/p>\n
\nF\u00fcr den langfristigen Trendverlauf bei Systemressourcen oder Benutzung der Spieleserver verwende ich Munin<\/a>, womit die Werte grafisch anschaulich aufbereitet werden.
\nDie Mehrzahl der Daten wird nat\u00fcrlich in Logdateien gespeichert. Da die Menge an Informationen manuell nicht in annehmbarer Zeit zu \u00fcberpr\u00fcfen ist, braucht es einen Loganalysierer, der die Daten f\u00fcr Menschen lesbar aufbereitet und im Idealfall nur die \"wichtigen\" Informationen herausfiltert.
\nEin bekannter Loganalysierer hei\u00dft Logwatch, den ich am l\u00e4ngsten kenne und seit Anfang an f\u00fcr den Server benutze. Speziell f\u00fcr Berichte \u00fcber die Vorg\u00e4nge mit der Firewall gibt es aber auch noch FwLogwatch<\/a>. Ebenfalls angeschaut habe ich mir Logcheck<\/a>, Swatch<\/a> und Tenshi<\/a>. Snort<\/a> steht auf jeden Fall noch auf der Todo-Liste und mit Tiger<\/a> als Auditor habe ich auch schon gute Erfahrungen gemacht.<\/p>\nLogwatch<\/a><\/h2>\n
aptitude install logwatch<\/code><\/p>\n<\/code>Ein gro\u00dfer Pluspunkt von Logwatch ist, dass es direkt nach der Installation einfach funktioniert und t\u00e4glich eine Zusammenfassung als Textmail an Root und die externe Adresse schickt, sofern man zuvor einen Mailserver<\/a> eingerichtet hat.
\nLogwatch ist in der Standardeinstellung auf einen niedrigen Detaillevel eingestellt. Die Werte reichen von 0 (low) \u00fcber 5 (medium) bis 10 (high). Grunds\u00e4tzlich werden die Logs der letzten 24 Stunden analysiert, wozu der Cronjob in \/etc\/cron.daily\/00logwatch<\/em> aufgerufen wird. Diese Zeitsteuerung l\u00e4sst sich wie schon beschrieben<\/a> \u00fcber das Verschieben von 00logwatch in den entsprechenden Cron-Ordner oder durch die Bearbeitung der Crontabs \u00e4ndern.
\nDie Reichweite der Loganalyse kann auch per Option direkt an Logwatch \u00fcbergeben werden. Weitere Hinweise dazu finden sich mit logwatch --range Help<\/strong>.<\/p>\nKonfigurationsbeispiel mit Lighttpd<\/h2>\n
\nPrinzipiell finden sich in den Unterverzeichnissen logfiles und services in \/usr\/share\/logwatch\/default.conf<\/em> die Regeln, welche Logdateien analysiert werden sollen und Parameter, die den Output n\u00e4her bestimmen. Die tats\u00e4chliche Arbeit verrichten aber die Skripte in \/usr\/share\/logwatch\/scripts<\/em>.
\nDie zentrale Konfigurationsdatei ist logwatch.conf<\/strong> und befindet sich zusammen mit ignore.conf<\/em> in \/usr\/share\/logwatch\/default.conf<\/em>. Schon rein aus formalen Gr\u00fcnden habe ich aber alle Dateien dort unangetastet gelassen, da Debian selbst die Werte im Verzeichnis \/usr\/share\/logwatch\/dist.conf\/<\/em> \u00fcberschreibt und jede individuelle Einstellungen wie gewohnt in \/etc\/logwatch\/<\/em> festgelegt wird.
\nDie Unterverzeichnisse in \/etc\/logwatch\/<\/em> spiegeln die Verzeichnisstruktur in \/usr\/share\/logwatch<\/em> wider. Man muss also nur die modifizierten Dateien f\u00fcr Logfiles und Services dort ablegen.
\nIn meinem Fall habe ich den Service http angepasst, der standardm\u00e4\u00dfig auf die Analyse von Apache ausgerichtet ist. Mit wenigen Handgriffen funktioniert er aber auch f\u00fcr Lighttpd.<\/p>\nKopieren<\/h3>\n
\n\/usr\/share\/logwatch\/default.conf\/services\/http.conf --><\/strong> \/etc\/logwatch\/conf\/services\/<\/p>\nAnpassen<\/h3>\n
\nMeine http.conf<\/a> f\u00fcr services.
\nDie Logdateien f\u00fcr meinen Lighttpd-Webserver liegen immer in \/var\/log\/lighttpd\/linuxiuvat.de\/<\/em>. Mit<\/p>\n
\nDie zweite http.conf Datei ist der sogenannte Filter oder Service, der auf die Logdateien angewendet wird. Ich habe den Titel auf \"Lighttpd\" gesetzt und den Detaillevel auf 10 erh\u00f6ht. Dadurch wird der Standard von 0 \u00fcberschrieben und die Ausgabe von Lighttpd deutlich \"lauter\". Der Rest beschr\u00e4nkt sich darauf Parameter auszukommentieren, die n\u00fctzlich sein k\u00f6nnen, z.B.<\/p>\noverride.conf<\/h3>\n
Fazit<\/h2>\n
\nMir gef\u00e4llt Logwatch sehr gut, da es bisher die anderen Methoden gut erg\u00e4nzt. Logwatch ist ein Teil der L\u00f6sung aber eben nicht alles. F\u00fcr mich ist eine t\u00e4gliche E-Mail-Benachrichtigung ausreichend. Au\u00dferdem ist die Standardkonfiguration sehr gut. Wer noch mehr Kontrolle und andere Voreinstellungen bevorzugt, sollte sich Logcheck anschauen. Dort wird man anfangs sogar st\u00fcndlich informiert und kann durch Regul\u00e4re Ausdr\u00fccke festlegen, was man sehen m\u00f6chte oder eben nicht.<\/p>\n","protected":false},"excerpt":{"rendered":"