Haal meer uit logwatch

Armijn Hemel, 14 mei 2010, 1870 views.

De logbestanden in de gaten houden is een kerntaak voor elke systeembeheerder, maar als er grote hoeveelheden informatie ineens bekeken moeten worden dan is het risico groot dat je iets over het hoofd ziet. De informatie in kleine porties opdienen maakt het makkelijker om een oogje op je systeem te houden.

Tags: linux, logwatch, systeembeheer

Bij Loco houden we een oogje op onze systemen alsof het onze eigen kinderen zijn, die bij een meer vol krokodillen spelen. We hebben systemen draaien die schreeuwen als er gebeten wordt, maar ook als er even zachtjes aan de systemen geknabbeld is willen we het weten. Per dag een rapport is in die gevallen genoeg voor ons.

Dit zijn meestal de niet-urgenten dingen. Een voorbeeld is een rapportage van de logs van de webserver. Klanten registreren soms nog wel eens domainnamen en laten die naar ons verwijzen, maar vergeten om het ons te vertellen. Andere zaken die we willen weten zijn de hoeveelheden spams die geblokkeerd worden per dag, wat de hoeveelheid schijfruimte is en nog wat andere dingen.

Het standaardprogramma op veel Linux-systemen om deze rapporten te maken heet logwatch.

logwatch wordt geleverd met veel plugins die geschreven zijn om door allerlei veelvoorkomende logbestanden heen te ploegen en de resultaten te rapporteren. Je kunt logwatch vertellen om weinig of juist veel details te rapporteren. Voor een snel overzicht is het vaak fijn om weinig details te zien, maar soms willen we liever wat meer informatie zien. Dit is makkelijk te doen door logwatch voor een specifieke service nog eens te draaien, maar met wat andere parameters. Wij doen dit vanuit cron:

/usr/sbin/logwatch --service sshd --detail medium --output=unformatted

Dit commando bekijkt de logs van sshd op een hoger niveau dan standaard het geval is. De uitvoer laten we sturen als tekst met minimale opmaak. Naar eigen smaak zou je het rapport in HTML willen, hoewel in onze optiek platte tekst een stuk fijner leest.