Librox blog

À deux, c’est mieux

Accueil > Serveur > Logcheck

Logcheck

mercredi 14 mars 2012

Logcheck est un script qui analyse les fichiers journaux des systèmes et recherche toute activité inhabituelle ainsi que les attaques.

Il m’envoie des mails quand une erreur apparaît dans les fichiers de logs de mon serveur.

Pour l’installer et l’utiliser sur un serveur Debian Squeeze, je ne vais pas refaire le monde : reportez-vous sur cet excellent tuto.

Par contre si comme moi vous recevez ce genre de mails :
Warning : If you are seeing this message, your log files may not have been checked !

Details :
Could not run logtail or save output

Check temporary directory : /tmp/logcheck.PdmsRj

Also verify that the logcheck user can read all files referenced in
/etc/logcheck/logcheck.logfiles !

declare -x HOME="/var/lib/logcheck"
declare -x LANG="fr_FR.UTF-8"
declare -x LOGNAME="logcheck"
declare -x MAILTO="root"
declare -x OLDPWD
declare -x PATH="/usr/local/sbin :/usr/local/bin :/sbin :/bin :/usr/sbin :/usr/bin"
declare -x PWD="/var/lib/logcheck"
declare -x SHELL="/bin/sh"
declare -x SHLVL="1"

Il peut s’agir du fait que l’utilisateur de logcheck (adm) n’a pas accès aux fichiers qu’il doit lire (pour info la liste de ces fichiers est /etc/logcheck/logcheck.logfiles)

Un petit :
#chown root:adm /var/log/...
Pour chaque fichier listé dans le logcheck.logfiles et c’est réglé !