LinuxをはじめとするUNIX系OSは、ほぼ必ずと言っていいくらいsyslogというデーモンでログを書いています。
このログ、結構重要な事が書かれているにもかかわらず読んで無い方も多いのではないでしょうか。
そこでこのログから比較的重要だと思われるものを自動的にメールで知らせてくれる[g]logcheck[/g]を紹介します。
インストールは簡単なので省きます。
インストールが終わると /usr/local/etcにlogcheck.* なファイルがあると思います。
logcheck.hacking, logcheck.violationsにはログにその文字列が出た場合報告するものを、
logcheck.violations.ignore, logcheck.ignoreにはたとえその文字列が出た場合も報告しないものを記述します。
あとlogcheck.shの中に"SYSADMIN="という項目があるのでメールの送信先を書きます。
logcheck.hackingにはあらかじめ"ATTACK"などが設定されていると思いますので、
cronに登録してしばらくこれで運用してみます。
# crontab -e
2 * * * * /usr/local/etc/logcheck.sh
↑XX時2分毎に実行するという意味ですね。
するとメールに関係の無いログも大量に送られてくるので、
logcheck.ignoreに正規表現で関係のない文字列を追加していきます。
logcheckを使うことにより、セキュリティ以外でもデーモンの異常終了などを知ることができるので便利ですよ。