Logcheck ili… kako se izboriti sa logovima

Neki se možda sećaju ovog teksta, pre jedno 2 godine (i malo više) napiso sam ga za jedan od brojeva Gnuzilla, konkretno br. 37 – maj 2008. godine, pa sam rešio da malo sredim i osvežim tekst i postavim ovde.

Pa da krenemo…

Morate da pregledate hrpu logova i nađete šta nije u redu? Može to, naravno, i brže i drugačije. A nije ni teško. 😉

Koliko ste se puta našli u navedenoj situaciji: morate da pretražite logove sistema za nekom specifičnom greškom ili jednostavno da proverite da li je sve u redu, ali Vas pomisao na to baš i ne oduševljava? Verujem da se svi mi nađemo u toj situaciji pre ili kasnije. Sreća je pa možemo sebi da olakšamo posao uz pomoć jednog malog programa po imenu Logcheck.
Zadatak ovog programa je da filtira logove , sumira ih i prikaže samo one delove koji trenutno zavređuju pažnju, preuzimajući na sebe dosadniji deo posla. Nakon obavljenog sumiranja, Logcheck će uredno poslati e-mail na vaš lokalni nalog. Program se može instalirati kako na servere, tako i na desktop računare.

Instalacija i podešavanje

Instalirajte program na sledeći način:

# sudo apt-get install logcheck

kao i njegovu bazu sa već pripremljenim filterima:

# sudo apt-get install logcheck-database

###NAPOMENA: moram da se ogradim: kod mene je automatski instaliran i ovaj paket prilikom instalacije samog logchek, ali ostavio sam za svaki slučaj

kao i paket:

# sudo apt-get install syslog-summary

koji treba da odradi sumiranje logova.
Sve ovo, naravno, na desktop računarima, može se obaviti i iz Synaptica.

Podešavanje Logcheck je lako. Sama konfiguracija se svodi na pravilan odabir nivoa filtriranja, pa pripazite da logovi ne zatrpaju vaše prijemno sanduče u poštanskom klijentu. Omogućena su 3 nivoa filtriranja:

1. Paranoid (ovaj nivo će poslati bukvalno skoro sve logove u izveštaj, pa je jedino preporučljiv za usko specijalizovane računare, kao što je Firewall, koji imaju mali broj pokrenutih procesa)
2. Server (verovatno najbolji izbor koji će izveštaj staviti samo najbitnije promene iz logova)
3. Workstation (preporučljiv za deskop i manje opterećene računare, jer će pokazati samo krajnje kritične stavke iz logova)

Nakon instalacije, otvorite vašim omiljenim editorom konfiguracioni dokument Logchecka da bi izvršili podešavanje:

# sudo gedit /etc/logcheck/logcheck.conf

i naći i izmeniti sledeće stavke:

REPORTLEVEL=“server“

(Odabrali smo u ovom slučaju Server kao nivo filtriranja.)

SENDMAILTO=“user@ubuntu“

(Ovde unosimo korisničko ime, u našem slučaju to je user, kao i ime računara, ovde je to ubuntu. Kod servera može i na ovakav način, ali je dovoljno i staviti samo root)

Nakon ovih izmena, sačuvaćemo dokument.
Posle inicijalnog podešavanja, Logcheck će na osnovu podešavanja spremiti izveštaj koji će biti poslat na lokalni poštanski nalog. Novi izveštaj će podrazumevano stizati svakog sata, kao i pri startovanju ili ponovnom pokretanju računara.

Pa da pročitamo poštu….

Kao što je napomenuto, izveštaj se šalje na lokalni poštanski nalog, koji se nalazi u /var/mail pod imenom korisnika sistema. U ovom slušaju, putanja bi bila /var/mail/user. U slučaju da ne postoji dokument user, treba ga napraviti:

# sudo touch /var/mail/user

Zatim, da ne bi čekali da se Logcheck regularno odradi posao i pošalje prvi izveštaj, možemo to uraditi ovako:

# sudo su -s /bin/bash -c „nice -n10 /usr/sbin/logcheck“ logcheck

Nakon ovoga, možemo napokon videti rezultate i to na dva primera: preko konzolnog bsd-mailx programa i preko Evolution poštanskog klijenta. Naravno, možete koristiti bilo koji drugi poštanski klijent po Vašem izboru.
Da prvo instaliramo bsd-mailx (inače, nekada je bio mailx, ali je zamenjen sa bsd-mailx) koji će zgodno doći na serveru:

# sudo apt-get install bsd-mailx

###NAPOMENA: moram da se ogradim: kod mene je automatski instaliran i ovaj paket prilikom instalacije samog logchek, ali ostavio sam za svaki slučaj. Takođe, možete instalirati i malo napredniji klijent Heirloom mailx:
# sudo apt-get install heirloom-mailx

a nakon ovoga, možemo pročitati naš izveštaj:

# mail

###NAPOMENA: inače, ako želite da pogledate logove nekog drugog korisnika, a ne ulogovanog, onda ide i svič -u i ime

# mail -u user

###NAPOMENA: slično i za  Heirloom mailx

# heirloom-mailx -u user

Što se tiče Evolution, njega podešavamo na sledeći način (ali pre svega proverite ovlašćenja nad /var/mail/user, morate imati pravo pisanja i čitanja). Otvorite Evolution i preko opcije Edit otvorite Preferences. Izaberete Mail Accounts, opcija Add i podesite sledeće:
E-mail address:  user@ubuntu
Receiving Email:
-Server type: Local delivery
-Configuration: /var/mail/user
Sending Email:
-Server type: Sendmail
Dajte neko smisleno ime za nalog i to je to.
Uživajte.

Korisna adresa:

http://logcheck.org/

Advertisements

15 thoughts on “Logcheck ili… kako se izboriti sa logovima

  1. # sudo apt-get logcheck-database
    Ovde mu fali installl

    # sudo su -s /bin/bash -c „nice -n10 /usr/sbin/logcheck“ logcheck
    Ovde se bunu na parametar n

    Probano u Ubuntu 10.04.2 LTS, probao nabrzaka da vidim to oko nice al me nesto google zavlaci. Kako to namestiti npr. u Thuderbirdu

    • Hala na primećenom, ispravio.
      Kod mene radi sa paramtrom -n. Testirano na 10.10.
      Nemam instaliran TB tako da ti ne mogu tačno reći, ali ne bi trebalo da bude neke drastične razlike.

  2. #~$ sudo su -s /bin/bash -c „nice -n /usr/sbin/logcheck“ logcheck
    Nece ni ovako, ovo je odgovor koji dobijem
    su: invalid option — ‘n’
    Usage: su [options] [LOGIN]

    Options:
    -c, –command COMMAND pass COMMAND to the invoked shell
    -h, –help display this help message and exit
    -, -l, –login make the shell a login shell
    -m, -p,
    –preserve-environment do not reset environment variables, and
    keep the same shell
    -s, –shell SHELL use SHELL instead of the default in passwd

    Nisam jak sa komandama, zato izbegavam komade pa ako moze napravim script, ne vidim dobro imam dijabetes i onda zavisno koliki mi je secer nekad jedva nesto vidim a nekad super.

  3. Kontam po logici trebao bi da imam ili sendmail ili posfix instaliran, da li rezonujem dobro jer nijedan nije instaliran? Kontam da su ono sto predlazes samo klijenti .

  4. Ne, video sam gde je problem: WordPress automatski prve navodnice stavlja kako ne treba. Smešno, al ajd sad: u terminalu navodnice se stavljaju automatski na obe strane gore, a ovde WP prve stavlja dole, zašto pojma nemam: probao sam da editujem članak ali je tamo sve OK, dok ovde stavlja dole?!? Probaj da ručno otkucaš naredbu u terminalu.
    # sudo su -s /bin/bash -c „nice -n10 /usr/sbin/logcheck“ logcheck

  5. Sad je OK komanda ali opet se buni:
    Please install an MTA on this system if you want to use sendmail!
    Error closing sendmail: non-zero exit (255) at /usr/bin/mime-construct line 563

  6. Nema instaliran Exim, maknuo sam sendmail i stavio Exim sad ne radi u Thunderbirdu. Za danas je dosta.
    Pozdrav 🙂

  7. Ono zbog cega se najvise iznerviram je kad nesto hocu da deinstaliram iz synaptica kao taj exim4 on hoce da makne i ono sto nije instalirao. Kakve veze ima google-earth za njim da bi ga ovaj deinstalira i jos neke programi. Sa sendmailom mi je radilo preko Thunderbirda , stavim exim sad ne radi.

    • Da, znam taj odećaj. 😉
      Elem, ako ti je radio sa TB, onda vrati na ta podešavanja. Uostalom, priču smo započeli oko komande koja samo treba da odmah odradi „pakovanje“ logova kako ne bi čekao da sistem to odradi po ustaljenoj proceduri u određenom vremenu. Ta komanda i nije presudna za sam rad.

  8. Kapiram zasta sluzi sam program Logcheck, moze se i bez njega, znam gde su logovi tako da mogu uvek rucno da gledam. Zbrisacu sve, zapisacu sta exim macinje iz samo njemu znanih razloga, gogole-earth je prvi (ima ga na disku .deb pakovanje), ostalo cu pogledati pa ako mi nije vazno necu ni vracati. Ko mi kriv kad sam sebi komplikujem zivot.

    • Natavno Tomo, slobodno možete to da učinite. I ako pišem samo o Linuxu, za svaki slučaj, povucite tag Ubuntu i Linux, kako bi Vam vukao samo feedove sa Linux vestima.

Ostavite odgovor

Popunite detalje ispod ili pritisnite na ikonicu da biste se prijavili:

WordPress.com logo

Komentarišet koristeći svoj WordPress.com nalog. Odjavite se / Promeni )

Slika na Tviteru

Komentarišet koristeći svoj Twitter nalog. Odjavite se / Promeni )

Fejsbukova fotografija

Komentarišet koristeći svoj Facebook nalog. Odjavite se / Promeni )

Google+ photo

Komentarišet koristeći svoj Google+ nalog. Odjavite se / Promeni )

Povezivanje sa %s