Installer et configurer logcheck

Le programme logcheck scrute par défaut les fichiers de logs toutes les heures et envoie par courrier électronique les messages les plus inhabituels pour aider à détecter tout nouveau problème ou toute nouvelle intrusion.

Ce tutoriel fonctionne sur Debian 6,7,8 et 9. Il fonctionne également avec la distribution Ubuntu. Votre serveur doit pouvoir envoyé des mails. Les lignes de commandes suivantes se font via une console (ou terminal) en mode super-administrateur (root).

Difficulté

Facile

Pour installer logcheck, il n'y a pas de difficulté particulière.

Un simple

aptitude install logcheck

ou un petit

apt-get install

Le système va installer logcheck et ses dépendances.

Logcheck se configure par l’intermédiaire de 2 fichiers logcheck.conf et logcheck.logfiles. Avant de les modifier nous allons les sauvegarder. Pour cela nous tapons les commandes suivantes :

cp /etc/logcheck/logcheck.conf{,.ori}
cp /etc/logcheck/logcheck.logfiles{,.ori}

Nous allons d'abord modifier l'adresse mail qui recevra les messages électroniques de logcheck.

command /bin/sed -i -r 's|^SENDMAILTO=.*$|SENDMAILTO="votre_mail@domaine.com"|' /etc/logcheck/logcheck.conf

N'oubliez pas de remplacer votre_mail@domaine.com par votre adresse mail.

Le fichier logcheck.logfiles contient la liste des fichiers de logs que logcheck scrutera.

Pour commencer, vous pouvez utiliser ce contenu :

# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/auth.log

Pour modifier le contenu, vous éditez le fichier /etc/logcheck/logcheck.logfiles avec votre éditeur de texte préféré. Par exemple nano :

nano  /etc/logcheck/logcheck.logfiles

Une fois les modifications effectuées, vous sauvegardez et vous quittez votre éditeur de texte.

Logcheck s'exécute seul via une tâche automatisée de type cron. Logcheck se lance toute les heures.

Toutefois, vous pouvez tester logcheck en ligne de commande avec :

su -s /bin/bash -c "/usr/sbin/logcheck" logcheck

Si tout va bien, vous allez recevoir un mail de logcheck dans votre boîte mail.

Il arrive que logcheck est un peu trop verbeux dans ses rapports et cela peut vite devenir contre productif. Il est donc possible d'ajouter ou de modifier les règles de logcheck. Ses règles se trouvent dans les répertoires :

• /etc/logcheck/ignore.d.paranoid
• /etc/logcheck/ignore.d.workstation
• /etc/logcheck/ignore.d.server

Nous, nous nous intéresserons aux règles se trouvant dans le répertoire /etc/logcheck/ignore.d.server qui correspondent aux règles utilisées sur un serveur en production.

Nous avons mis à disposition des règles de filtrage pour logcheck ici. Ou vous pouvez les installer directement grâce à ces quelques lignes de code "git doit être installé" :

cd /tmp
git clone https://github.com/montuy337513/logcheck-rules.git
cp /tmp/logcheck-rules/ignore.d.server/* /etc/logcheck/ignore.d.server
rm -r /tmp/logcheck-rules

Il se peut que logcheck vous envoie un mail avec le contenu suivant :

Warning : If you are seeing this message, your log files may not have been checked !
 
Details : 
Could not run logtail or save output
 
Check temporary directory : /tmp/logcheck.PdmsRj
 
Also verify that the logcheck user can read all files referenced in 
/etc/logcheck/logcheck.logfiles !
 
declare -x HOME="/var/lib/logcheck" 
declare -x LANG="fr_FR.UTF-8" 
declare -x LOGNAME="logcheck" 
declare -x MAILTO="root" 
declare -x OLDPWD 
declare -x PATH="/usr/local/sbin :/usr/local/bin :/sbin :/bin :/usr/sbin :/usr/bin" 
declare -x PWD="/var/lib/logcheck" 
declare -x SHELL="/bin/sh" 
declare -x SHLVL="1"

Ce message vous informe que logcheck n'a pas réussi à lire l'un ou plusieurs des fichiers log indiqués dans /etc/logcheck/logcheck.logfiles. Commencer par vérifier si il n'y a pas de faute de frappe. Dans presque tous les autres cas, c'est un problème de droit. Logcheck n'a pas l'autorisation de consulter un ou plusieurs des fichiers de log. Dans ce cas un petit

chown root:adm /var/log/auth.log
chown root:adm /var/log/syslog

Et vous faîtes ceci avec tous les fichiers présents dans /etc/logcheck/logcheck.logfiles.

• [10/06/2018] : Création de l'article
• [11/09/2020] : Ajout section rules logcheck - Mise en forme de la page

• Auteur : montuy337513