Installer et configurer logcheck

Le programme logcheck scrute par défaut les fichiers de logs toutes les heures et envoie par courrier électronique les messages les plus inhabituels pour aider à détecter tout nouveau problème ou toute nouvelle intrusion.

Pré-requis et mise en garde

Ce tutoriel fonctionne sur Debian 6,7,8 et 9. Il dit aussi fonctionné sur Ubuntu. Votre serveur doit pouvoir envoyé des mails. Les lignes de commandes suivantes se font via une console (ou terminal) en mode super-administrateur (root).

Difficulté
Facile

Installation de logcheck

Pour installer logcheck, il n'y a pas de difficulté particulière.

Un simple

aptitude install logcheck

ou un petit

apt-get install

Le système va installer logcheck et ses dépendances.

Configuration

Logcheck se configure par l’intermédiaire de 2 fichiers logcheck.conf et logcheck.logfiles. Avant de les modifier nous allons les sauvegarder. Pour cela nous tapons les commandes suivantes :

cp /etc/logcheck/logcheck.conf{,.ori}
cp /etc/logcheck/logcheck.logfiles{,.ori}

Nous allons d'abord modifier l'adresse mail qui recevra les messages électroniques de logcheck.

command /bin/sed -i -r 's|^SENDMAILTO=.*$|SENDMAILTO="votre_mail@domaine.com"|' /etc/logcheck/logcheck.conf

N'oubliez pas de remplacer votre_mail@domaine.com par votre adresse mail.

Le fichier logcheck.logfiles contient la liste des fichiers de logs que logcheck scrutera.

Pour commencer, vous pouvez utiliser ce contenu :

# these files will be checked by logcheck
# This has been tuned towards a default syslog install
/var/log/syslog
/var/log/auth.log

Pour modifier le contenu, vous éditez le fichier /etc/logcheck/logcheck.logfiles avec votre éditeur de texte préféré. Par exemple nano :

nano  /etc/logcheck/logcheck.logfiles

Une fois les modifications effectuées, vous sauvegardez et vous quittez votre éditeur de texte.

Vérification du bon fonctionnement de logcheck

Logcheck s'exécute seul via une tâche automatisée de type cron. Logcheck se lance toute les heures.

Toutefois, vous pouvez tester logcheck en ligne de commande avec :

su -s /bin/bash -c "/usr/sbin/logcheck" logcheck

Si tout va bien, vous allez recevoir un mail de logcheck dans votre boîte mail.

Erreur possible

Il se peut que logcheck vous envoie un mail avec le contenu suivant :

Warning : If you are seeing this message, your log files may not have been checked !
 
Details : 
Could not run logtail or save output
 
Check temporary directory : /tmp/logcheck.PdmsRj
 
Also verify that the logcheck user can read all files referenced in 
/etc/logcheck/logcheck.logfiles !
 
declare -x HOME="/var/lib/logcheck" 
declare -x LANG="fr_FR.UTF-8" 
declare -x LOGNAME="logcheck" 
declare -x MAILTO="root" 
declare -x OLDPWD 
declare -x PATH="/usr/local/sbin :/usr/local/bin :/sbin :/bin :/usr/sbin :/usr/bin" 
declare -x PWD="/var/lib/logcheck" 
declare -x SHELL="/bin/sh" 
declare -x SHLVL="1"

Ce message vous informe que logcheck n'a pas réussi à lire l'un ou plusieurs des fichiers log indiqués dans /etc/logcheck/logcheck.logfiles. Commencer par vérifier si il n'y a pas de faute de frappe. Dans presque tous les autres cas, c'est un problème de droit. Logcheck n'a pas l'autorisation de consulter un ou plusieurs des fichiers de log. Dans ce cas un petit

chown root:adm /var/log/auth.log
chown root:adm /var/log/syslog

Et vous faîtes ceci avec tous les fichiers présents dans /etc/logcheck/logcheck.logfiles.

Notes de version

  • [10/06/2018] : Création de l'article

Auteurs et sources