{{htmlmetatags>metatag-description=(Installation et configuration de logcheck sur serveur Linux Debian. )
metatag-og:image=(https://www1.zonewebmaster.eu/_media/serveur-debian-securite:logcehck.jpg?nolink&400)
metatag-og:description=(Le programme logcheck scrute par défaut les fichiers de logs toutes les heures et envoie par courrier électronique les messages les plus inhabituels pour aider à détecter tout nouveau problème ou toute nouvelle intrusion. )
metatag-og:title=(Installation et configuration de logcheck sur serveur Linux Debian.)
metatag-og:type=(article)
metatag-og:url=(https://www1.zonewebmaster.eu/serveur-debian-securite/installer-et-configurer-logcheck)
metatag-og:locale=(fr_FR)
metatag-og:site_name(zonewebmaster.eu)
metatag-article:published_time=(2018-06-10)
metatag-article:modified_time=(2020-09-11)
metatag-article:author=(montuy337513)
metatag-article:tag=(logcheck, installation, configuration, rules, regles, serveur web, securiser, securite, installation, sécurisation,help, tuto, wiki, debian)
}}
====== Installer et configurer logcheck ======
Le programme **logcheck** scrute par défaut les fichiers de logs toutes les heures et envoie par courrier électronique les messages les plus inhabituels pour aider à détecter tout nouveau problème ou toute nouvelle intrusion.
{{ :serveur-debian-securite:logcehck.jpg?nolink&400 |}}
===== Pré-requis et mise en garde =====
Ce tutoriel fonctionne sur Debian 6,7,8 et 9. Il fonctionne également avec la distribution Ubuntu.
Votre serveur doit pouvoir envoyé des mails.
Les lignes de commandes suivantes se font via une console (ou terminal) en mode //super-administrateur// (**root**).
{{howhard>2}}
===== Installation de logcheck =====
Pour installer **logcheck**, il n'y a pas de difficulté particulière.
Un simple
aptitude install logcheck
ou un petit
apt-get install
Le système va installer **logcheck** et ses dépendances.
===== Configuration =====
**Logcheck** se configure par l’intermédiaire de 2 fichiers //logcheck.conf// et //logcheck.logfiles//.
Avant de les modifier nous allons les sauvegarder. Pour cela nous tapons les commandes suivantes :
cp /etc/logcheck/logcheck.conf{,.ori}
cp /etc/logcheck/logcheck.logfiles{,.ori}
Nous allons d'abord modifier l'adresse mail qui recevra les messages électroniques de **logcheck**.
command /bin/sed -i -r 's|^SENDMAILTO=.*$|SENDMAILTO="votre_mail@domaine.com"|' /etc/logcheck/logcheck.conf
N'oubliez pas de remplacer //votre_mail@domaine.com// par votre adresse mail.
Le fichier //logcheck.logfiles// contient la liste des fichiers de logs que **logcheck** scrutera.
Pour commencer, vous pouvez utiliser ce contenu :
# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/auth.log
Pour modifier le contenu, vous éditez le fichier// /etc/logcheck/logcheck.logfiles //avec votre éditeur de texte préféré.
Par exemple //nano// :
nano /etc/logcheck/logcheck.logfiles
Une fois les modifications effectuées, vous sauvegardez et vous quittez votre éditeur de texte.
===== Vérification du bon fonctionnement de logcheck =====
**Logcheck** s'exécute seul via une tâche automatisée de type **cron**. **Logcheck** se lance toute les heures.
Toutefois, vous pouvez tester **logcheck** en ligne de commande avec :
su -s /bin/bash -c "/usr/sbin/logcheck" logcheck
Si tout va bien, vous allez recevoir un mail de **logcheck** dans votre boîte mail.
===== Ajout de nouvelles règles (Rules) de filtrage pour logcheck =====
Il arrive que logcheck est un peu trop verbeux dans ses rapports et cela peut vite devenir contre productif. Il est donc possible d'ajouter ou de modifier les règles de **logcheck**.
Ses règles se trouvent dans les répertoires :
* /etc/logcheck/ignore.d.paranoid
* /etc/logcheck/ignore.d.workstation
* /etc/logcheck/ignore.d.server
Nous, nous nous intéresserons aux règles se trouvant dans le répertoire /etc/logcheck/ignore.d.server qui correspondent aux règles utilisées sur un serveur en production.
Nous avons mis à disposition des règles de filtrage pour //logcheck// [[https://github.com/montuy337513/logcheck-rules|ici]].
Ou vous pouvez les installer directement grâce à ces quelques lignes de code "//git doit être installé//" :
cd /tmp
git clone https://github.com/montuy337513/logcheck-rules.git
cp /tmp/logcheck-rules/ignore.d.server/* /etc/logcheck/ignore.d.server
rm -r /tmp/logcheck-rules
===== Erreur possible =====
Il se peut que **logcheck** vous envoie un mail avec le contenu suivant :
Warning : If you are seeing this message, your log files may not have been checked !
Details :
Could not run logtail or save output
Check temporary directory : /tmp/logcheck.PdmsRj
Also verify that the logcheck user can read all files referenced in
/etc/logcheck/logcheck.logfiles !
declare -x HOME="/var/lib/logcheck"
declare -x LANG="fr_FR.UTF-8"
declare -x LOGNAME="logcheck"
declare -x MAILTO="root"
declare -x OLDPWD
declare -x PATH="/usr/local/sbin :/usr/local/bin :/sbin :/bin :/usr/sbin :/usr/bin"
declare -x PWD="/var/lib/logcheck"
declare -x SHELL="/bin/sh"
declare -x SHLVL="1"
Ce message vous informe que **logcheck** n'a pas réussi à lire l'un ou plusieurs des fichiers log indiqués dans// /etc/logcheck/logcheck.logfiles. //
Commencer par vérifier si il n'y a pas de faute de frappe.
Dans presque tous les autres cas, c'est un problème de droit. **Logcheck** n'a pas l'autorisation de consulter un ou plusieurs des fichiers de log.
Dans ce cas un petit
chown root:adm /var/log/auth.log
chown root:adm /var/log/syslog
Et vous faîtes ceci avec tous les fichiers présents dans// /etc/logcheck/logcheck.logfiles. //
===== Notes de version =====
* [10/06/2018] : Création de l'article
* [11/09/2020] : Ajout section rules logcheck - Mise en forme de la page
===== Auteurs et sources =====
* Auteur : [[:user:montuy337513]]
===== Navigation =====
{{page>:navigation#securiser-un-serveur-debian}}
{{page>:navigation#serveur-dedie-debian}}