Bonjour,
Pas vraiment convaincu par le logwatch de CentOS, j'ai écrit un petit outil pour l'analyse semi automatique des logs : scrut
Principe scrut est un exécutable binaire qui parcours automatiquement les logs en filtrant les messages sans importance ; révélant ainsi les messages inhabituels, nouveau ou problématiques. scrut est à lancer régulièrement par un cron ; les informations méritant une attention sont alors automatiquement transmises par mail.
1 Prérequis Utiliser le mode de format de log standard ; - dans /etc/rsyslog.conf remplacer RSYSLOG_TraditionalFileFormat par RSYSLOG_FileFormat - systemctl restart syslog Redémarrer cron (pour qu'il envoie des mails ! ; voir https://centosfaq.org/centos/centos-81-cron-does-not-send-mail/) systemctl restart crond
2 Configuration La configuration se fait dans /etc/scrut/ (le sous-répertoire etc est un exemple de configuration). Ce répertoire doit contenir un sous répertoire pour chaque log à analyser dont le nom doit correspondre au fichier journal situé en /var/log/ ; par exemple /etc/scrut/messages/. Chacun des sous répertoires de /etc/scrut/ doit contenir : • un fichier last • un sous répertoire filters/ Le fichier last sert à mémoriser la date et l'heure de la dernière ligne de log filtrée. Le sous répertoire filters/ contient les fichiers d'expressions régulières qui servent à filtrer les messages pouvant être ignorés. Les expressions régulières des fichiers de filtre doivent concerner les informations qui figurent après la date, l'heure et le nom du host. Par exemple pour /etc/scrut/secure/filtres/su : ^su[[[:digit:]]+]: pam_systemd(su-l:session): Cannot create session: Already running in a session or user slice$
3 Utilisation en mode test Pour la mise au point de filtres, il est possible de lancer manuellement scrut sans mettre à jour le fichier last en précisant une date et heure de seuil à appliquer : ./scrut 2020-10-23T17:26:12.8453
Pour ceux que cela intéresserait, scrut est partagé en https://numerunique.fr/scrut.tar
Laurent Barme
Je ne suis pas trop fan de logwatch non plus. Je teste lundi
Le sam. 24 oct. 2020 à 09:37, Laurent Barme 2551@barme.fr a écrit :
Bonjour,
Pas vraiment convaincu par le logwatch de CentOS, j'ai écrit un petit outil pour l'analyse semi automatique des logs : scrut
Principescrut est un exécutable binaire qui parcours automatiquement les logs en filtrant les messages sans importance ; révélant ainsi les messages inhabituels, nouveau ou problématiques. scrut est à lancer régulièrement par un cron ; les informations méritant une attention sont alors automatiquement transmises par mail.
1 Prérequis Utiliser le mode de format de log standard ;
- dans /etc/rsyslog.conf remplacer RSYSLOG_TraditionalFileFormat par
RSYSLOG_FileFormat
- systemctl restart syslog
Redémarrer cron (pour qu'il envoie des mails ! ; voir https://centosfaq.org/centos/centos-81-cron-does-not-send-mail/) systemctl restart crond
2 Configuration La configuration se fait dans /etc/scrut/ (le sous-répertoire etc est un exemple de configuration). Ce répertoire doit contenir un sous répertoire pour chaque log à analyser dont le nom doit correspondre au fichier journal situé en /var/log/ ; par exemple /etc/scrut/messages/. Chacun des sous répertoires de /etc/scrut/ doit contenir : • un fichier last • un sous répertoire filters/ Le fichier last sert à mémoriser la date et l'heure de la dernière ligne de log filtrée. Le sous répertoire filters/ contient les fichiers d'expressions régulières qui servent à filtrer les messages pouvant être ignorés. Les expressions régulières des fichiers de filtre doivent concerner les informations qui figurent après la date, l'heure et le nom du host. Par exemple pour /etc/scrut/secure/filtres/su : ^su[[[:digit:]]+]: pam_systemd(su-l:session): Cannot create session: Already running in a session or user slice$
3 Utilisation en mode test Pour la mise au point de filtres, il est possible de lancer manuellement scrut sans mettre à jour le fichier last en précisant une date et heure de seuil à appliquer : ./scrut 2020-10-23T17:26:12.8453
Pour ceux que cela intéresserait, scrut est partagé en https://numerunique.fr/scrut.tar
Laurent Barme
Liste de diffusion du FRsAG http://www.frsag.org/
Merci pour ton retour.
A lundi pour le résultat du test.
Le 24/10/2020 à 11:22, Ludovic Scotti a écrit :
Je ne suis pas trop fan de logwatch non plus. Je teste lundi
Le sam. 24 oct. 2020 à 09:37, Laurent Barme <2551@barme.fr mailto:2551@barme.fr> a écrit :
Bonjour, Pas vraiment convaincu par le logwatch de CentOS, j'ai écrit un petit outil pour l'analyse semi automatique des logs : scrut Principe scrut est un exécutable binaire qui parcours automatiquement les logs en filtrant les messages sans importance ; révélant ainsi les messages inhabituels, nouveau ou problématiques. scrut est à lancer régulièrement par un cron ; les informations méritant une attention sont alors automatiquement transmises par mail. 1 Prérequis Utiliser le mode de format de log standard ; - dans /etc/rsyslog.conf remplacer RSYSLOG_TraditionalFileFormat par RSYSLOG_FileFormat - systemctl restart syslog Redémarrer cron (pour qu'il envoie des mails ! ; voir https://centosfaq.org/centos/centos-81-cron-does-not-send-mail/) systemctl restart crond 2 Configuration La configuration se fait dans /etc/scrut/ (le sous-répertoire etc est un exemple de configuration). Ce répertoire doit contenir un sous répertoire pour chaque log à analyser dont le nom doit correspondre au fichier journal situé en /var/log/ ; par exemple /etc/scrut/messages/. Chacun des sous répertoires de /etc/scrut/ doit contenir : • un fichier last • un sous répertoire filters/ Le fichier last sert à mémoriser la date et l'heure de la dernière ligne de log filtrée. Le sous répertoire filters/ contient les fichiers d'expressions régulières qui servent à filtrer les messages pouvant être ignorés. Les expressions régulières des fichiers de filtre doivent concerner les informations qui figurent après la date, l'heure et le nom du host. Par exemple pour /etc/scrut/secure/filtres/su : ^su\[[[:digit:]]+\]: pam_systemd\(su-l:session\): Cannot create session: Already running in a session or user slice$ 3 Utilisation en mode test Pour la mise au point de filtres, il est possible de lancer manuellement scrut sans mettre à jour le fichier last en précisant une date et heure de seuil à appliquer : ./scrut 2020-10-23T17:26:12.8453 Pour ceux que cela intéresserait, scrut est partagé en https://numerunique.fr/scrut.tar Laurent Barme _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-
Laurent Barme -
Ludovic Scotti