====== Mon pense-bêtes logcheck ======

**Logcheck** est un outil qui scrute les logs, en fait un résumé et envoie un courriel à l'administrateur (généralement root en local) régulièrement. 
.Il se paramètre grâce à des règles (//rules// en anglais). Voici mon petit pense-bêtes pour améliorer les règles existantes.

===== logcheck et ssmtp =====

Pour améliorer les règles concernant **ssmtp** et supprimer les remontées suivantes :
<code>
Mar  9 10:01:25 xxxxxxxx sSMTP[29992]: Creating SSL connection to host
Mar  9 10:01:25 xxxxxxxx sSMTP[29992]: SSL connection using RSA_AES_128_CBC_SHA1
Mar  9 10:01:25 xxxxxxxx sSMTP[29992]: Sent mail for miel@chg-web.com (221 2.0.0 Closing connection.) uid=107 username=logcheck outbytes=2012
</code>

Modifions le fichier// /etc/logcheck/ignore.d.server/ssmtp //avec un éditeur de texte :
<code bash>
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Creating SSL connection to host$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: SSL connection using [._[:alnum:]-]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Sent mail for .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: Sent mail for .* \([0-9]+ [0-9.]+ Bye\) uid=[0-9]+ username=[\._[:alnum:]-]+ outbytes=[0-9]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: SSL connection using RSA_AES_128_CBC_SHA1$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sSMTP\[[0-9]+\]: SSL connection using RSA_AES_256_CBC_SHA1$
</code>

===== Logcheck et freshclam - clamav =====

Pour améliorer les règles concernant l'antivirus **Clamav** et sou outil de mise à jour **freshclam**, nous pouvons ajouter les lignes suivantes dans le fichier// /etc/logcheck/ignore.d.server/clamav-freshclam //avec un éditeur de texte :
<code bash>
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: ClamAV update process started at .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Received signal: (wake up|re-opening log file)$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (bytecode|daily|main)\.c(l|v)d (is up to date|updated) \(version: [0-9]+, sigs: [0-9]+, f-level: [0-9]+, builder: \w+\)$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Clamd successfully notified about the update\.$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: --------------------------------------$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Database updated \([0-9]+ signatures\) from .* \(IP: [0-9.]+\)$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: Downloading daily-[0-9]+.cdiff \[100%\] ?$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?(main|daily|safebrowsing|bytecode)\.c(l|v)d (is up to date|updated) \(version: [0-9]+, sigs: [0-9]+, f-level: [0-9]+, builder: \w+\)$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Downloading (daily|safebrowsing|bytecode)(-[0-9]+)?.(cdiff|cvd) \[(100%|\*)\] ?$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Empty script safebrowsing-[0-9]+.cdiff, need to download entire database$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?(WARNING: |\^)Your ClamAV installation is OUTDATED!$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?(WARNING: |\^)Local version: [0-9.]+ Recommended version: [0-9.]+$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?DON'T PANIC! Read .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Database updated \([0-9]+ signatures\) from .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Received signal: wake up$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?ClamAV update process started at .*$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ freshclam\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?Clamd successfully notified about the update.$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ clamd\[[0-9]+\]: (\w{3} \w{3} [ :0-9]{16} -> )?SelfCheck: Database status OK.$
</code>

===== Notes de version =====

  * [13/06/2018] : Création de l'article
  * [23/07/2019] : Ajout de la section clamav - freshclam
  
===== Auteurs et sources =====

  * Auteur : [[:user:montuy337513]]

===== Navigation =====

  * [[:accueil|Accueil]]
  * [[:serveur-debian-securite]]
  * [[:serveur-debian-general]]
  * [[:serveur-debian-automatisation]]
  * [[:serveur-debian-file]]
  * [[:serveur-debian-log]]
  * [[:serveur-debian-user-groupe]]
  * [[:serveur-debian-apache2]]
  * [[:serveur-debian-postfix]]
  * [[:serveur-debian-mysql]]
  * [[:serveur-debian-divers]]

<nspages -h1 -exclude:subNs: -textPages="Autres liens rapides pouvant vous intéresser">