¿Cómo monitorizar tus logs en Linux con logwatch?

Los sistemas Linux, y muchas aplicaciones crean archivos especiales denominados comúnmente “logs” para registrar sus eventos operacionales. Estos registros del sistema o archivos de registro específicos de la aplicación son una herramienta esencial cuando se trata de la comprensión y la solución de problemas del comportamiento del sistema operativo y las aplicaciones de terceros. Sin embargo, los archivos de registro no son precisamente lo que se llama de facil lectura y el análisis de archivos de registro bruto a mano es a menudo largo y tedioso. Por esa razón, cualquier utilidad que puede convertir archivos de registro bruto en un registro más fácil de usar es una gran bendición para los administradores de sistemas.

logwatch es un analizador de código abierto de registro y analizador escrito en Perl, que puede analizar y convertir archivos de registro bruto en un formato estructurado, haciendo un informe personalizable basado en sus casos y requisitos de uso. En logwatch, la atención se centra en producir más fácilmente resumen del registro de consumo, no en el procesamiento de registros en tiempo real y el seguimiento. Como tal, logwatch se invoca normalmente como una tarea cron automatizado con el tiempo y la frecuencia deseada, o manualmente desde la línea de comandos cuando se requiere el procesamiento de registros. Una vez que se genera un informe de registro, logwatch puede enviar el informe a usted, guardarlo en un archivo, o mostrarla en la pantalla.

Un informe logwatch es totalmente personalizable en términos de nivel de detalle y cobertura de procesamiento. El motor de procesamiento de registros de logwatch es extensible, en un sentido que si desea habilitar logwatch para una nueva aplicación, puede escribir una secuencia de comandos de procesamiento de registros (en Perl) para el archivo de registro de la solicitud, y conéctelo con logwatch.

Una desventaja de logwatch es que no incluye en su informe, información del evento de tiempo detallado disponible en los archivos de registro originales. Sólo se sabe que un evento en particular se registra en un rango solicitado de tiempo, y usted tendrá que acceder a los archivos de registro originales para obtener información de tiempo exacta.

 

Instalando Logwatch

En Debian

# aptitude install logwatch

 

En Centos/Red Hat

# yum install logwatch

Configurando Logwatch

Durante la instalación, el archivo de configuración principal (logwatch.conf) se coloca en /etc/logwatch/ conf. Las opciones de configuración definidas en esta configuración de todo el sistema de archivos de anulación definidas en /usr/share/logwatch/default.conf/logwatch.conf.

Si logwatch se lanza desde la línea de comandos sin ningún argumento, se utilizarán las opciones personalizadas definidas en /etc/logwatch/conf/logwatch.conf. Sin embargo, si los argumentos de línea de comandos se especifican con comando logwatch, esos argumentos a su vez anulan cualquier configuración por defecto / personalizadas en /etc/logwatch/conf/logwatch.conf.

En este artículo, vamos a personalizar varios ajustes predeterminados de logwatch editando /etc/logwatch/conf/logwatch.conf archivo.

 

1
Detail = <Low, Med, High, or a number>

Detail” directiva controla el nivel de detalle de un informe logwatch. Puede ser un número entero positivo, o Alto, Medio, Bajo, que corresponden a 10, 5 y 0, respectivamente.

1
MailTo = youremailaddress@yourdomain.com

“Mailto” directiva se utiliza si usted quiere tener un informe logwatch enviado por correo electrónico. Para enviar un informe logwatch a varios destinatarios, puede especificar sus direcciones de correo electrónico separados por un espacio. Para poder utilizar esta directiva, sin embargo, tendrá que configurar un agente de transferencia de correo local (MTA) como sendmail o Postfix en el servidor donde se está ejecutando logwatch.

1
Range = <Yesterday|Today|All>

Range” directiva especifica el tiempo de duración de un informe logwatch. Los valores comunes de esta directiva son Ayer, Hoy o Todos. Cuando se utiliza Rango = All”, también se necesita Archivo = yes” Directiva, por lo que todas las versiones archivadas de un archivo de registro determinado (por ejemplo, / var / log / maillog, /var/log/maillog.X, o / var / log / maillog.X.gz) se procesan.

Además de dichos valores de rango común, también puede utilizar las opciones más complejas de rango como los siguientes.

  • Range = “2 hours ago for that hour”
  • Range = “-5 days”
  • Range = “between -7 days and -3 days”
  • Range = “since September 15, 2014”
  • Range = “first Friday in October”
  • Range = “2014/10/15 12:50:15 for that second”

Para poder utilizar estos ejemplos de rango sin problemas, es necesario instalar  módulo Perl :: Manip desde CPAN.

1
2
3
Service = <service-name-1>
Service = <service-name-2>
. . .

 

Opción “Servicio” especifica uno o más servicios para monitorear el uso de logwath. Todos los servicios disponibles se encuentran en /usr/share/logwatch/scripts/servicios, que cubren los servicios esenciales del sistema (por ejemplo, pam, seguras, iptables, syslogd), así como servicios de aplicaciones populares como sudo, sshd, http, fail2ban, samba. Si desea agregar un nuevo servicio a la lista, usted tendrá que escribir un registro correspondiente procesamiento de script en Perl, y la coloca en este directorio.

Si esta opción se utiliza para seleccionar los servicios específicos, es necesario comentar la línea Servicio = All” en /usr/share/logwatch/default.conf/logwatch.conf.

 

1
Format = <text|html>

Format” directiva especifica el formato (por ejemplo, texto o HTML) de un informe logwatch.

1
Output = <file|mail|stdout>

“Output” directiva indica dónde se debe enviar un informe logwatch. Se puede guardar en un archivo (archivo), enviado por correo electrónico (email), o se muestra a la pantalla (salida estándar).
Analizar archivos de registro con Logwatch

Para entender la forma de analizar los archivos de registro utilizando logwatch, consideremos el siguiente ejemplo logwatch.conf:

Analizando Log Files con Logwatch

To understand how to analyze log files using logwatch, consider the following logwatch.conf
Para comprender como analizar los ficheros de logs usando logwatch, veamos este ejemplo:

1
2
3
4
5
6
7
8
Detail = High
MailTo = youremailaddress@yourdomain.com
Range = Today
Service = http
Service = postfix
Service = zz-disk_space
Format = html
Output = mail

 

Bajo estos parámetros, logwatch procesará los archivos generados por tres servicios (http, postfix y zzdisk_space) hoy ingrese, efectuará un informe HTML con alto nivel de detalle, y enviarlo por correo electrónico a usted.

Si no desea personalizar /etc/logwatch/conf/logwatch.conf, puede dejar el archivo de configuración por defecto sin cambios, y en lugar de correr logwatch desde la línea de comandos de la siguiente manera. Se logrará el mismo resultado.


# Logwatch –detail 10 –mailto youremailaddress@yourdomain.com –range hoy –service http –service postfix –service zzdisk_space –format HTML –output electrónico

 

¡Déjanos una respuesta!