Logwatch é uma ferramenta customizável que serve para monitorar os arquivos de log no servidor, reportando as principais atividades e alertando para possíveis tentativas de invasão. Em nossos testes o relatório diário enviado pelo Logwatch tem auxiliado na captura/ban definitivo de ataques ao servidor, tarefa que seria impossível de fazer manualmente.
* Como a maioria de vocês já devem estar acostumados, o objetivo dos tutoriais que publicamos é apresentar o texto de forma resumida optando pelas melhores configurações adaptadas aos tutoriais anteriores. Poderíamos falar mais sobre a ferramenta e mostrar as opções que ela oferece mas da nossa maneira vamos direto ao que interessa. Este tutorial foi instalado e testado no Linux Debian 7 com ISPConfig que configuramos anteriormente.
Já vimos anteriormente como analisar os arquivos de log no VPS, aprendendo para que serve cada arquivo e monitorando o servidor. Mas daquela forma levaríamos horas para filtrar possíveis ataques e outras atividades importantes. Com o Logwatch vamos automatizar essa tarefa.
* Este tutorial deve ser seguido posteriormente ao de Segurança no Servidor que publicamos recentemente <clique aqui para aprender como configurar um Firewall>
1 Baixe e instale o Logwatch:
#Faça primeiro um update dos pacotes no repositório e rode o instalador em seguida > apt-get update > apt-get install logwatch #Na pergunta se deseja continuar tecle ENTER
2 Altere o arquivo de configuração:
Faremos algumas alterações para o relatório ser enviado com maior clareza e de forma detalhada. Edite o arquivo: /usr/share/logwatch/default.conf/logwatch.conf
* Em nossos tutoriais usamos sempre o WinSCP com Notepad++ para editar arquivos remotos, siga este link para aprender como fazer isso
#Na linha 35 altere para que o relatorio seja enviado por email Output = mail #Na linha 37 altere o formato para HTML facilitando a leitura Format = html #Na linha 44 vamos configurar para qual email o relatorio sera enviado (pode ser uma conta interna ou externa) MailTo = [email protected] #Na linha 53 podemos, opcionalmente, alterar para que o relatorio seja enviado usando uma conta interna e autenticada do sistema, evitando problemas com entrega para caixas de entrada como as do Hotmail #Para essa linha de configuracao funcionar veja observacao no passo 3 abaixo MailFrom = [email protected] #Na linha 77 altere o nivel de detalhes para Medio, assim o relatorio sera enviado como aquele demonstrado em nosso link acima Detail = Med
3 Altere o arquivo /usr/share/logwatch/dist.conf/logwatch.conf:
Na configuração do passo 2 alteramos o “MailFrom” para uma conta interna e autenticada, temos que alterar este segundo arquivo para que o relatório seja enviado com o email correto.
#Altere a linha MailFrom para o mesmo email usado acima ou simplesmente comente a linha com o sinal de "#" MailFrom = [email protected]
4 Teste a ferramenta:
Não há necessidade de reiniciar qualquer serviço, para fazer um teste e verificar se a ferramenta foi configurada corretamente acesse o terminal SSH com as credenciais do superusuário root e digite o seguinte comando:
> logwatch
*Se estiver tudo certo após alguns segundos você receberá um email com o relatório das atividades do dia anterior. Caso não receba o email verifique no arquivo /var/log/mail.log se o status está como “sent” (enviado) ou se apresentou algum erro.
Durante a instalação e configuração uma tarefa já foi adicionada ao CRON para ser executada no período parametrizado, em nosso caso o relatório será enviado diariamente com o resumo das atividades do dia anterior (yesterday).