Logging-int
doel
Deze server is onze centrale log server
ip addressen
LET OP: de externe interface (212.72.224.44) heeft 'geen' default gateway!
/etc/netplan/01-netcfg.yaml
network:
version: 2
ethernets:
enp0s25:
dhcp6: no
accept-ra: no
addresses:
- 212.72.224.44/24
nameservers:
search:
- hobby.nl
routes:
# ns3.hobby.nl
- to: 149.210.180.15
via: 212.72.224.1
# ns4.hobby.nl
- to: 136.144.202.205
via: 212.72.224.1
optional: true
enp6s0:
dhcp6: no
accept-ra: no
addresses:
- 172.31.1.27/24
nameservers:
addresses: []
search: []
routes:
- to: 172.31.0.0/16
via: 172.31.1.1
- to: 192.168.200.0/24
via: 172.31.1.1
optional: true
logwatch
Logwatch draait 1 x per dag
En meldt ongebruikelijkheden, over alle logs.
Van alle servers staat alles in 1 log mail, wil je weten van welke het komt dan moet je grep doen
selectief meldingen onderdrukken
De default suppress-scripts staan in /usr/share/logwatch/scripts/services/sshd.
Wil je in zo'n script een aanpassing maken, copieer het relevante bestand dan naar de map '/etc/logwatch/scripts/services', en maak daar dan de gewenste aanpassingen.
Voorbeeld:
root@logging:/etc/logwatch/scripts/services# cp -a /usr/share/logwatch/scripts/services/sshd . root@logging:/etc/logwatch/scripts/services# vi sshd
($ThisLine =~ /Disconnected from /) or
($ThisLine =~ /Connection reset by /)
ignore.conf
Je kunt ook op globaal niveau regels wegfilteren. Zo'n regel wordt dan definitief uit alle output gehaald.
Neem in de ignore.conf dingen op die globaal genegeerd mogen worden zoals:
# firewall start stop negeren /=*= Start IPv4 firewall =*=/ /=*= Start IPv6 firewall =*=/ /=*= Stop IPv4 firewall =*=/ /=*= Stop IPv6 firewall =*=/ # negeer start stop regels van scripts in cron /started on server/ /finished on server/ /stopped on server/ /ended on server/ # start en stop van een sessie hoeven niet in logwatch /session opened for user/ /session closed for user/