Logwatch est un outil de surveillance des journaux (logs) qui offre plusieurs avantages :

1. Surveillance des activités système : Logwatch analyse les fichiers de log système (tels que /var/log/messages, /var/log/auth.log, etc.) et génère des rapports récapitulatifs. Cela permet de surveiller les activités de la machine, les erreurs, les tentatives de connexion, etc.
2. Détection d’anomalies : En examinant les journaux, Logwatch peut détecter des anomalies ou des comportements inhabituels. Par exemple, il peut signaler des tentatives de connexion infructueuses, des erreurs de disque, des modifications de fichiers sensibles, etc.
3. Alertes de sécurité : Logwatch peut être configuré pour envoyer des alertes par e-mail en cas d’événements critiques. Cela permet de réagir rapidement aux problèmes de sécurité potentiels.
4. Audit de conformité : Pour les entreprises soumises à des réglementations (comme le RGPD, HIPAA, etc.), Logwatch peut aider à vérifier la conformité en surveillant les activités liées à la sécurité.
5. Historique des activités : Les rapports générés par Logwatch fournissent un historique des activités, ce qui peut être utile pour l’analyse post-incident ou pour comprendre les tendances au fil du temps.

En résumé, l’installation de Logwatch est recommandée pour améliorer la sécurité, surveiller les activités système et détecter les anomalies sur votre système.

Installation de Logwatch :

• Ouvrez un terminal et exécutez la commande suivante pour installer Logwatch : dnf install logwatch

Personnalisation de Logwatch :

• Copiez le fichier de configuration par défaut dans un emplacement personnalisé : cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf
• Éditez le fichier logwatch.conf pour effectuer les modifications nécessaires : vi /etc/logwatch/conf/logwatch.conf
• Voici quelques paramètres intéressants à modifier :
  • Pour envoyer des e-mails : Output = stdout
  • Pour formater les e-mails : Format = text (Note : Vous pouvez également choisir le format html si vous le préférez.)
  • Pour définir les destinataires des e-mails, modifiez la ligne MailTo : MailTo = root (Note : vous pouvez indiquer des adresses mail comme : mail1@webdevpro.net mail2@webdevpro.net)
  • Pour définir la date sur laquelle vont se baser les rapports : Range = yesterday (Note : vous pouvez aussi choisir All, Today )
  • Pour ajuster le niveau de détail (longueur de l’e-mail) : Detail = Low (Vous pouvez également choisir High, Medium ou un chiffre de 0 à 10.)

Exemple de sortie (format texte) :

• Logwatch générera des e-mails ressemblant à ceci, où chaque section correspond à un fichier de log traité :################### Logwatch 7.3.6 (05/19/07) #################### Processing Initiated: Sat Mar 14 02:00:21 2015 Date Range Processed: yesterday (2015-Mar-13) Period is day. Detail Level of Output: 10 Type of Output: mail ...
• Ces rapports vous permettront de surveiller l’activité de votre machine et de détecter d’éventuelles attaques.

N’oubliez pas que Logwatch ne bloque pas les attaques, mais il vous aide à mettre en place des stratégies de sécurité en fonction des rapports générés.

Exécuter Logwatch

Vous pouvez choisir d’exécuter ce programme manuellement ou de le lancer automatiquement à l’aide d’une tâche cron.

Exécuter Logwatch manuellement

Comme vous avez déjà configuré le fichier Logwatch, vous pouvez simplement exécuter cette commande : logwatch pour lancer Logwatch avec les configurations que vous avez définies à l’étape précédente.

/usr/sbin/logwatch #Exécutez cette commande si vous n’avez pas le compte root.

Si vous souhaitez tester d’autres paramètres, vous pouvez les spécifier sur la ligne de commande pour remplacer les paramètres par défaut. Voici les options disponibles dans le fichier de configuration.

logwatch [–detail level ] [–logfile log-file-group ] [–service service-name ] [–print] [–mailto address ] [–archives] [–range range ] [–debug level ] [–save file-name ] [–logdir directory ] [–hostname hostname ] [–splithosts] [–multiemail] [–output output-type ] [–numeric] [–no-oldfiles-log] [–version] [–help|–usage]

Par exemple, si vous souhaitez recevoir par email le service http avec les détails de la journée d’hier, exécutez la commande suivante. N’hésitez pas à remplacer les paramètres par ceux que vous souhaitez tester.

logwatch –detail Low –mailto email@address –service http –range yesterday

Exécuter Logwatch automatiquement

Par défaut, lors de l’installation, Logwatch créé un fichier 0logwatch dans /etc/cron.daily ce qui a pour effet d’exécuter une fois par jour l’envoi de rapport. Mais Vous pouvez également configurer une tâche cron pour exécuter le service automatiquement à une fréquence régulière.

Par exemple, nous avons configuré le service pour qu’il s’exécute chaque jour à 6h35. Tout d’abord, nous éditons le fichier : vi /etc/crontab

Saisissez ensuite les paramètres dans le fichier de configuration:

35 6 * * * * root /usr/sbin/logwatch

Après cela, appuyez sur « : » et « wq », puis appuyez sur la touche « Enter » pour enregistrer les modifications.