WIKI sur Linux (ADB)

« LINUX:LogWatch » : différence entre les versions

← Modification précédente
Aucun résumé des modifications
Aucun résumé des modifications
 
(3 versions intermédiaires par le même utilisateur non affichées)
Ligne 56 : Ligne 56 :




==fichier "override.conf"==
==Fichier "override.conf"==
Ce fichier sert à outrepasser certains paramètres définis autre part.
Ce fichier sert à outrepasser certains paramètres définis autre part.


Ligne 72 : Ligne 72 :




==fichier "ignore.conf"==
==Fichier "ignore.conf"==
Ce fichier permet d'occulter les lignes du rapport final que l'on ne veut plus voir affiché.
Ce fichier permet d'occulter les lignes du rapport final que l'on ne veut plus voir affiché.


Ligne 99 : Ligne 99 :
  Reexecution requested from client PID (\d+) \('systemctl'\)
  Reexecution requested from client PID (\d+) \('systemctl'\)
----
----
On remarque qu un back-slash devant les parenthèses a été ajouté. En effet les parenthèses définissent un bloc d'une expression régulière. Ces back-slash évite ce type de traitement. En deuxième ligne et suivantes, nous avons affaire au PID. Nous les traitons par l'expression régulière "(\d+)" qui remplace tout mot constitué de chiffre ("\d" pour digit et "+" pour multiples).
On remarque qu'un back-slash a été ajouté devant les parenthèses. En effet les parenthèses définissent un bloc d'une expression régulière. Ces back-slash évite ce type de traitement. En deuxième ligne et suivantes, nous avons affaire au PID; ce n° est variable et numérique. Nous les traitons par l'expression régulière "(\d+)" qui remplace tout mot constitué de chiffres ("\d" pour digit et "+" pour multiples).


Dès lors le rapport devient:
Dès lors le rapport devient:
Ligne 127 : Ligne 127 :
Nous avons donc créé le fichier de configuration "/etc/logwatch/conf/logfiles/php.conf" dont voici le contenu hors commentaires sur base du fichier "/usr/share/logwatch/default.conf/logfiles/php.conf":
Nous avons donc créé le fichier de configuration "/etc/logwatch/conf/logfiles/php.conf" dont voici le contenu hors commentaires sur base du fichier "/usr/share/logwatch/default.conf/logfiles/php.conf":
----
----
  # PHP (8.2) de la distribution
  # PHP (8.3) de la distribution
  LogFile = php-fpm/error.log
  LogFile = php-fpm/error.log
  LogFile = php-fpm/www-error.log
  LogFile = php-fpm/www-error.log
  # PHP (7.4, 8.0 et 8.1) du dépôt de Remi
  # PHP (7.4, 8.0 et 8.1) du dépôt de Remi
  LogFile = /var/opt/remi/php74/log/php-fpm/error.log
  #LogFile = /var/opt/remi/php74/log/php-fpm/error.log
  LogFile = /var/opt/remi/php74/log/php-fpm/www-error.log
  #LogFile = /var/opt/remi/php74/log/php-fpm/www-error.log
  LogFile = /var/opt/remi/php80/log/php-fpm/error.log
  LogFile = /var/opt/remi/php80/log/php-fpm/error.log
  LogFile = /var/opt/remi/php80/log/php-fpm/www-error.log
  LogFile = /var/opt/remi/php80/log/php-fpm/www-error.log
Ligne 138 : Ligne 138 :
  LogFile = /var/opt/remi/php81/log/php-fpm/www-error.log
  LogFile = /var/opt/remi/php81/log/php-fpm/www-error.log
   
   
  # PHP (8.2) de la distribution
  # PHP (8.3) de la distribution
  Archive = php-fpm/error.log-*
  Archive = php-fpm/error.log-*
  Archive = php-fpm/www-error.log-*
  Archive = php-fpm/www-error.log-*
  # PHP (7.4, 8.0 et 8.1) du dépôt de Remi
  # PHP (7.4, 8.0 et 8.1) du dépôt de Remi
  Archive = /var/opt/remi/php74/log/php-fpm/error.log-*
  #Archive = /var/opt/remi/php74/log/php-fpm/error.log-*
  Archive = /var/opt/remi/php74/log/php-fpm/www-error.log-*
  #Archive = /var/opt/remi/php74/log/php-fpm/www-error.log-*
  Archive = /var/opt/remi/php80/log/php-fpm/error.log-*
  Archive = /var/opt/remi/php80/log/php-fpm/error.log-*
  Archive = /var/opt/remi/php80/log/php-fpm/www-error.log-*
  Archive = /var/opt/remi/php80/log/php-fpm/www-error.log-*
Ligne 319 : Ligne 319 :


==Sshd-Session==
==Sshd-Session==
Suite au passe de la version de Fedora 40 à Fedora 41, une série de messages ont changés de non de service. Dans le fichier "/var/log/secure" (et archives) ce nom est passe de "sshd" à "sshd-session". N'étant plus traité, il a été repris dans le service "secure" de LogWatch" en tant que "**Unmatched Entries**".
Suite au passage de la version de Fedora 40 à Fedora 41, une série de messages ont changés de non de service. Dans le fichier "/var/log/secure" (et archives) ce nom est passé de "sshd" à "sshd-session". N'étant plus traité, il a été repris dans le service "secure" de LogWatch en tant que "**Unmatched Entries**".


Par exemple, la session:
Par exemple, la session:
Ligne 347 : Ligne 347 :
  $ignore_services = '''sshd-session''' sshd Pluto stunnel proftpd saslauthd imapd postfix/smtpd
  $ignore_services = '''sshd-session''' sshd Pluto stunnel proftpd saslauthd imapd postfix/smtpd
----
----
On y a ajouté la désactivation du traitement du service "sshd-session".
On y a ajouté la désactivation du traitement du service "sshd-session" à la ligne d'origine du service "secure".
* On crée ensuite le fichier de configuration du service "sshd-session". On recopie le contenu du fichier "/usr/share/logwatch/default.conf/services/sshd.conf" dans le fichier "/etc/logwatch/conf/services/sshd-session.conf". On élague les commentaires dans un soucis de clareté et on le personnalise pour le service "sshd-session":
* On crée ensuite le fichier de configuration du service "sshd-session". On recopie le contenu du fichier "/usr/share/logwatch/default.conf/services/sshd.conf" dans le fichier "/etc/logwatch/conf/services/sshd-session.conf". On élague les commentaires dans un soucis de clareté et on le personnalise pour le service "sshd-session":
----
----
Ligne 366 : Ligne 366 :
  $sshd_ip_lookup = Yes
  $sshd_ip_lookup = Yes
----
----
* Il faut maintenant créer le script de ce nouveau service "sshd-session". On ne doir rien changer au script du service "sshd". Nous avons opté pour un lien symbolique avec la commande:
* Il faut maintenant créer le script de ce nouveau service "sshd-session". On ne doit rien changer au script du service "sshd". Au lieu de le recopier, nous avons opté pour un lien symbolique avec la commande:
  ln -s /usr/share/logwatch/scripts/services/sshd /etc/logwatch/scripts/services/sshd-session
  ln -s /usr/share/logwatch/scripts/services/sshd /etc/logwatch/scripts/services/sshd-session




Maintenant nous aurons deux sections liées à Sshd: SSHD et SSHD-SESSION qui sont complémentaires.
Maintenant, dans le rapport, nous aurons deux sections liées à Sshd: SSHD et SSHD-SESSION qui sont complémentaires.
 
Note: Si nous avions laissé le même titre, nous aurions eu quand même deux sections d'où le changement de titre pour pouvoir les différencier.




Ligne 379 : Ligne 381 :
Il est possible de l'exécuter en direct via la commande:
Il est possible de l'exécuter en direct via la commande:
  logwatch
  logwatch
Dans ce cas, le résultat s'affiche directement à l'écran et concerne tous les services.
Dans ce cas, le résultat s'affiche directement à l'écran et concerne tous les services de la veille.


On peut se limiter à un service en le précisant. Par exemple pour le service "postfix, cette commande:
On peut se limiter à un service en le précisant. Par exemple pour le service "postfix, cette commande:
Ligne 428 : Ligne 430 :
Si le service n'est pas utilisé ou si aucune information n'est retenue, il n'y a pas d'affichage.
Si le service n'est pas utilisé ou si aucune information n'est retenue, il n'y a pas d'affichage.


Ces commandes exécutées en direct sont intéressantes pour vérifier le bon fonctionnement d'un service suite à toute modification.
Ces commandes exécutées en direct sont intéressantes pour vérifier le bon fonctionnement d'un service suite à toute modification ou dans une phase de test.




Récupérée de "https://www.adbweb.gslb.eu/wiki/index.php?title=LINUX:LogWatch"