Monitorando o servidor VPS com Logwatch

Logwatch é uma ferramenta customizável que serve para monitorar os arquivos de log no servidor, reportando as principais atividades e alertando para possíveis tentativas de invasão. Em nossos testes o relatório diário enviado pelo Logwatch tem auxiliado na captura/ban definitivo de ataques ao servidor, tarefa que seria impossível de fazer manualmente.

* Como a maioria de vocês já devem estar acostumados, o objetivo dos tutoriais que publicamos é apresentar o texto de forma resumida optando pelas melhores configurações adaptadas aos tutoriais anteriores. Poderíamos falar mais sobre a ferramenta e mostrar as opções que ela oferece mas da nossa maneira vamos direto ao que interessa. Este tutorial foi instalado e testado no Linux Debian 7 com ISPConfig que configuramos anteriormente.

Instalando e Configurando o Logwatch:

Já vimos anteriormente como analisar os arquivos de log no VPS, aprendendo para que serve cada arquivo e monitorando o servidor. Mas daquela forma levaríamos horas para filtrar possíveis ataques e outras atividades importantes. Com o Logwatch vamos automatizar essa tarefa.

* Este tutorial deve ser seguido posteriormente ao de Segurança no Servidor que publicamos recentemente <clique aqui para aprender como configurar um Firewall>

1 Baixe e instale o Logwatch:

#Faça primeiro um update dos pacotes no repositório e rode o instalador em seguida
> apt-get update

> apt-get install logwatch
#Na pergunta se deseja continuar tecle ENTER

2 Altere o arquivo de configuração:

Faremos algumas alterações para o relatório ser enviado com maior clareza e de forma detalhada. Edite o arquivo: /usr/share/logwatch/default.conf/logwatch.conf 

* Em nossos tutoriais usamos sempre o WinSCP com Notepad++ para editar arquivos remotos, siga este link para aprender como fazer isso

#Na linha 35 altere para que o relatorio seja enviado por email
Output = mail

#Na linha 37 altere o formato para HTML facilitando a leitura
Format = html

#Na linha 44 vamos configurar para qual email o relatorio sera enviado (pode ser uma conta interna ou externa)
MailTo = [email protected]

#Na linha 53 podemos, opcionalmente, alterar para que o relatorio seja enviado usando uma conta interna e autenticada do sistema, evitando problemas com entrega para caixas de entrada como as do Hotmail
#Para essa linha de configuracao funcionar veja observacao no passo 3 abaixo
MailFrom = [email protected]

#Na linha 77 altere o nivel de detalhes para Medio, assim o relatorio sera enviado como aquele demonstrado em nosso link acima
Detail = Med

3 Altere o arquivo /usr/share/logwatch/dist.conf/logwatch.conf:

Na configuração do passo 2 alteramos o “MailFrom” para uma conta interna e autenticada, temos que alterar este segundo arquivo para que o relatório seja enviado com o email correto.

#Altere a linha MailFrom para o mesmo email usado acima ou simplesmente comente a linha com o sinal de "#"
MailFrom = [email protected]

4 Teste a ferramenta:

Não há necessidade de reiniciar qualquer serviço, para fazer um teste e verificar se a ferramenta foi configurada corretamente acesse o terminal SSH com as credenciais do superusuário root e digite o seguinte comando:

> logwatch

*Se estiver tudo certo após alguns segundos você receberá um email com o relatório das atividades do dia anterior. Caso não receba o email verifique no arquivo /var/log/mail.log se o status está como “sent” (enviado) ou se apresentou algum erro.


NOTAS:

Durante a instalação e configuração uma tarefa já foi adicionada ao CRON para ser executada no período parametrizado, em nosso caso o relatório será enviado diariamente com o resumo das atividades do dia anterior (yesterday).

Gestão em infraestrutura de Servidores Cloud VPS e Dedicados. Planos mensais acessíveis e consultoria diferenciada para agências de marketing.
Envie um email para [email protected] e solicite uma análise gratuita!

  • Para discutir sobre este artigo acesse nossa Comunidade (link do menu principal)

  • Vanessa Francisco

    Luís você fará algum tutorial sobre adicionar novos domínios ao servidor?

  • Existe o tutorial de Debian com ISPConfig onde mostro como pode-se adicionar múltiplos domínios/contas de email, funciona de forma profissional como uma revenda de sites/hospedagens. É que você provavelmente seguiu o tutorial de LEMP no Ubuntu onde essa tarefa é mais difícil de gerenciar. O ISPConfig é um painel de controle muito leve e não ocupa recursos do servidor, ao contrário da maioria dos demais painéis de controle.

    https://fatorbinario.com/tutorial-vps-debian-wheezy-e-ispconfig-3-parte-1/