Merci pour ton retour.

A lundi pour le résultat du test.

Le 24/10/2020 à 11:22, Ludovic Scotti a écrit :
Je ne suis pas trop fan de logwatch non plus. Je teste lundi

Le sam. 24 oct. 2020 à 09:37, Laurent Barme <2551@barme.fr> a écrit :
Bonjour,

Pas vraiment convaincu par le logwatch de CentOS, j'ai écrit un petit outil pour
l'analyse semi automatique des logs : scrut

         Principe
scrut est un exécutable binaire qui parcours automatiquement les logs en
filtrant les messages sans importance ; révélant ainsi les messages inhabituels,
nouveau ou problématiques.
scrut est à lancer régulièrement par un cron ; les informations méritant une
attention sont alors automatiquement transmises par mail.

1       Prérequis
Utiliser le mode de format de log standard ;
- dans /etc/rsyslog.conf remplacer RSYSLOG_TraditionalFileFormat par
RSYSLOG_FileFormat
- systemctl restart syslog
Redémarrer cron (pour qu'il envoie des mails ! ; voir
https://centosfaq.org/centos/centos-81-cron-does-not-send-mail/)
systemctl restart crond

2       Configuration
La configuration se fait dans /etc/scrut/ (le sous-répertoire etc est un exemple
de configuration).
Ce répertoire doit contenir un sous répertoire pour chaque log à analyser dont
le nom doit correspondre au fichier journal situé en /var/log/ ; par exemple
/etc/scrut/messages/.
Chacun des sous répertoires de /etc/scrut/ doit contenir :
•       un fichier last
•       un sous répertoire filters/
Le fichier last sert à mémoriser la date et l'heure de la dernière ligne de log
filtrée.
Le sous répertoire filters/ contient les fichiers d'expressions régulières qui
servent à filtrer les messages pouvant être ignorés.
Les expressions régulières des fichiers de filtre doivent concerner les
informations qui figurent après la date, l'heure et le nom du host. Par exemple
pour /etc/scrut/secure/filtres/su :
^su\[[[:digit:]]+\]: pam_systemd\(su-l:session\): Cannot create session: Already
running in a session or user slice$

3       Utilisation en mode test
Pour la mise au point de filtres, il est possible de lancer manuellement scrut
sans mettre à jour le fichier last en précisant une date et heure de seuil à
appliquer :
./scrut 2020-10-23T17:26:12.8453

Pour ceux que cela intéresserait, scrut est partagé en
https://numerunique.fr/scrut.tar

Laurent Barme

_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/