服務(wù)器安全是一個(gè)值得慎重討論的話題，作為服務(wù)器的Linux也有許多手段來(lái)確保服務(wù)器數(shù)據(jù)和網(wǎng)絡(luò)的安全性。今天開始，我們來(lái)盤點(diǎn)Linux系統(tǒng)中的安全相關(guān)命令。今天關(guān)注的命令式：logwatch。

【90期主題】Linux系統(tǒng)安全之logwatch命令解析

logwatch命令是一個(gè)可定制和可插入式的日志監(jiān)視系統(tǒng)，它通過(guò)遍歷給定時(shí)間范圍內(nèi)的系統(tǒng)日志文件而產(chǎn)生日志報(bào)告。logwatch默認(rèn)每天執(zhí)行一次，可以從/etc/cron.daily里看到。

語(yǔ)法

logwatch(選項(xiàng))

選項(xiàng)

--detail<報(bào)告詳細(xì)程度>：指定日志報(bào)告的詳細(xì)程度；
--logfile<日志文件>：僅處理指定的日志文件；
--service<服務(wù)名>：僅處理指定服務(wù)的日志文件；
--print：打印結(jié)果到標(biāo)準(zhǔn)輸出；
--mailto<郵件地址>：將結(jié)果發(fā)送到指定郵箱；
--range<日期范圍>：指定處理日志的日期范圍；
--archives：處理歸檔日志文件；
--debug<調(diào)試等級(jí)>：調(diào)試模式；
--save<文件名>：將結(jié)果保存到指定文件中，而不顯示或者發(fā)送到指定郵箱；
--logdir<目錄>：指定查找日志文件的目錄，而不使用默認(rèn)的日志目錄；
--hostname<主機(jī)名>：指定在日志報(bào)告中使用的主機(jī)名，不使用系統(tǒng)默認(rèn)的主機(jī)名；
--numeric：在報(bào)告中顯示ip地址而不是主機(jī)名；
--help：顯示指令的幫助信息。

實(shí)例

檢查你的主機(jī)上是否已經(jīng)存在Logwatch（Redhat默認(rèn)已經(jīng)安裝了Logwatch，不過(guò)版本比較舊）：

rpm -qa logwatch

如果主機(jī)上沒(méi)有l(wèi)ogwatch，則執(zhí)行：

rpm -Ivh logwatch***.rpm

如果有老版本的logwatch，則執(zhí)行：

rpm -Uvh logwatch***.rpm

安裝完畢后，開始配置：

可以修改和添加它的logfiles、services和其他配置，但默認(rèn)已經(jīng)有很多腳本了，只要在1）里設(shè)置Detail = High就可以了。

• 可以添加新的配置到/etc/logwatch/conf/logwatch.conf
• 也可以修改/usr/share/logwatch/default.conf/logwatch.conf

/etc/logwatch/conf/會(huì)自動(dòng)覆蓋/usr/share/logwatch/default.conf/下的同名文件。

如果沒(méi)有設(shè)置logwatch.conf也沒(méi)關(guān)系，可以直接在命令行下設(shè)置。

logwatch --detail High --Service All --range All --print    基本就可以顯示出所有日志的情況了
logwatch --service sshd --detail High                       只看sshd的日志情況

《Linux學(xué)習(xí)每日一個(gè)知識(shí)點(diǎn)》欄目是馬哥教育Linux云計(jì)算年薪20萬(wàn)+的學(xué)員社群特別發(fā)起，分享Linux工具、Linux語(yǔ)法、Linux項(xiàng)目等知識(shí)點(diǎn)，幫助大家快速的了解Linux學(xué)習(xí)，快速步入Linux高薪的快車道。

http://haohuigou.com/74163.html