Cómo instalar y configurar Logwatch en Linux para monitorear los archivos de registro

Cualquier buen administrador de sistemas te dirá que uno de los mejores lugares para comenzar a solucionar problemas es en los archivos de registros (logs). Esto es cierto tanto para los problemas cotidianos del sistema como, más importante aún, para los problemas de seguridad. En los sistemas Linux, estos logs se encuentran en /var/log y se pueden ver con una terminal y varios comandos (como less y cat, por ejemplo). Esto significa que necesitarías abrir una terminal, ingresar al directorio /var/log y ver los archivos de registros uno por uno. ¿Y si pudieras utilizar una única aplicación que monitoreara ese directorio de logs y creara un resumen agregado de las entradas para que pudieras revisarlos fácilmente? Un archivo, muchos registros.

Aquí es donde entra en juego Logwatch. Con esta sencilla herramienta, los logs se clasifican por servicios que se ejecutan en un sistema Linux. Puedes configurar qué logs deseas incluir en el resumen agregado e incluso crear análisis personalizados para satisfacer necesidades especiales.

Quiero llevarte a través del proceso de instalación, configuración y uso de Logwatch. Lo estaré demostrando en Ubuntu Server 16.04.

Índice de Contenido
  1. Instalación
  2. Configuración
  3. Uso
  4. Tómate el tiempo para leer

Instalación

Dado que Logwatch se encuentra en los repositorios estándar, puedes instalar la herramienta desde la línea de comandos en casi cualquier distribución. Solo tienes que modificar el siguiente comando para que se ajuste al administrador de paquetes de tu distribución específica.

Para instalar en Ubuntu, abre una terminal y ejecuta el siguiente comando:

sudo apt-get install logwatch

Revelador informe: ¡40% de líderes de seguridad informática no cambian las contraseñas de administrador por defecto!

Dependiendo de tu configuración actual, es posible que se te pida configurar Postfix durante la instalación (Figura A).

Figura A

La razón por la que necesitas configurar Postfix es para la entrega del correo electrónico de Logwatch. Según cómo desees recibir ese correo electrónico, deberás seleccionar una de las opciones disponibles. Si optas por elegir solo local, puedes instalar mailutils (sudo apt install mailutils) y luego verificar el correo con el comando sudo mail.

Una vez que la instalación se haya completado, estás listo para la configuración.

Configuración

Toda la configuración de Logwatch se maneja en un único archivo. Abre una terminal y ejecuta el siguiente comando: sudo nano /usr/share/logwatch/default.conf/logwatch.conf. La primera opción que debes configurar es la dirección de email a donde se enviará el correo de Logwatch. La opción que estás buscando es MailTo =. Cómo lo configures dependerá de cómo hayas configurado el servicio. Si configuraste Logwatch para enviar solo localmente, deberás establecer MailTo = al usuario que deseas que lea el correo. Si configuraste Logwatch para enviar por Internet o por Internet con Smarthost, deberás establecer esa opción en la dirección de email necesaria para ver el resumen de Logwatch.

8 pasos clave para gestionar y contener una brecha de datos

Desplázate un poco más hacia abajo, hasta la opción MailFrom =. Si estás utilizando Logwatch con Internet o Internet con Smarthost, necesitarás establecer esto en una dirección de correo electrónico legítima (de lo contrario, podrías tener problemas con la entrega remota).

La siguiente opción es Range =. Esto te permite establecer el resumen de correo electrónico en las siguientes opciones:

  • Todos: desde que Logwatch fue instalado.
  • Hoy: logs del día de hoy.
  • Ayer: logs del día anterior.

De manera predeterminada, Range está configurado en "ayer".

Desplázate solo unas pocas líneas más para establecer la opción Detail. Esto determinará cuán detallados son tus logs. Si necesitas más información, establece Detail = High. Para una cantidad moderada de información, establece Detail = Med. Para menos información (valor predeterminado), deja Detail = Low.

La siguiente opción es Service =. Con esta opción, puedes configurarlo para Todos los servicios o listarlos individualmente. Por lo tanto, puedes ir con el valor predeterminado (Service = All) o algo como:

Service = http
Service = sshd
Service = sudo

Cómo evitar el spam en tu correo electrónico y proteger tu cuenta

Si no estás seguro acerca de esta opción, déjalo en Todos y luego configura según sea necesario.

Uso

Ahora que tienes Logwatch configurado, comenzará a enviar el resumen a diario. También puedes ejecutar la herramienta manualmente, de la siguiente manera:

logwatch --detail Med --mailto DIRECCIÓN --service all --range today

Donde DIRECCIÓN es tanto una dirección de correo electrónico remoto o un usuario local. El informe se enviará y luego podrás revisar los detalles (Figura B).

Figura B

Turbocharge tu privacidad: Instala Tor en Chrome y navega aún más seguro

No tienes que preocuparte por ejecutar el comando a diario, ya que Logwatch enviará automáticamente el correo electrónico que contiene los resultados del comando (según la configuración de logwatch.conf).

Tómate el tiempo para leer

Sin dudas, deberías tomarte el tiempo para leer. Siempre y cuando incluyas los logs en tu lista de lectura diaria (especialmente aquellos generados por Logwatch), estarás en buen camino. Tus sistemas Linux (y tu compañía) te lo agradecerán.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo instalar y configurar Logwatch en Linux para monitorear los archivos de registro , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.