Met logcheck kun je logfiles automatisch laten checken en een samenvatting van afwijkingen naar je laten mailen. Dit alles werkt m.b.v. regular expressions.
Om logcheck te installeren voer je het volgende command uit:
apt-get install logcheck
Hierna moet je de configuratie aanpassen in de file ‘/etc/logcheck/logcheck.conf’. Configureer in elk geval SENDMAILTO met jouw email-adres en het REPORTLEVEL (ik heb “server” als waarde gekozen).
Tenslotte moet je in ‘/etc/logcheck/logcheck.logfiles’ aangeven welke logfiles gecontroleerd moeten worden.
/var/log/syslog /var/log/auth.log
Logcheck gebruikt de ‘/etc/logcheck/ignore.d.server’ directory met negeer-files. Als het regels vindt die niet overeenkomen met de regels in de deze negeer-files zal logcheck ze opnemen in het e-mail rapport als een potentieel probleem. Hierdoor wordt alles wat ongebruikelijk met een email gerapporteerd. Pas deze negeer-files aan naar jouw behoeften met behulp van regular expressions.
Logcheck wordt vanuit een cron-job aangeroepen. Met de cron-job kun je dan ook de frequentie aangeven hoe vaak logcheck wordt aangeroepen en wanneer.
In het begin ben je even bezig om logcheck ‘af te regelen’, maar je zult merken dat het je uiteindelijk veel werk uit handen neemt daar je nu nooit meer zelf manueel je logfiles hoeft te checken.