Des alertes mail à partir des messages dans vos fichiers de logs

Des alertes mail à partir des messages dans vos fichiers de logsEn parcourant le fichier /var/log/secure, je me suis aperçu de nombreuses tentatives de connexion à mon serveur Ftp. Dans un billet précédent, je vous ai expliqué comment limiter les attaques en force brute avec TCP Wrapper.

L’objet de cet article est de vous montrer, à l’aide du logiciel swatch – alias Simple Log Watcher – présent dans toutes les distributions Linux, comment réaliser une alerte par mail, à partir d’un message présent dans un des fichiers de logs de votre système et des logiciels qu’il exécute!

Installation de swatch

Sous Fedora, swatch s’installe à l’aide de la commande :

dnf install swatch

Création du fichier de configuration

Par convention, vous devez créer un fichier de configuration /etc/swatch.conf. Vous pouvez aussi, à condition d’en avoir les droits, exécuter swatch à partir de ~/.swatchrc.

Dans l’exemple ci-dessous, je recherche la chaîne de caractères « pam_unix(vsftpd:auth): authentication failure« . Comme swatch utilise les expressions régulières, je suis obligé d’échapper les parenthèses au niveau de la directive watchfor.

watchfor /pam_unix\(vsftpd:auth\): authentication failure/
    pipe /usr/bin/mail -u root -s "Tentative de connexion à Vsftpd" votre_email@gmail.com

La commande pipe permet d’envoyer la ligne répondant à l’occurrence recherchée dans la commande qui suit ! La commande mail (installée avec le paquet mailx) gère l’envoi du mail. Sur mes serveurs, j’utilise habituellement ssmtp, en tant que MTA.

Vous pouvez ajouter d’autres directives watchfor.

Lancer la commande swatch

Vous pouvez la lancer de manière interactive, à partir de la ligne de commande, en précisant le fichier de configuration ainsi que le fichier de logs :

/usr/bin/swatch --config-file=/etc/swatch.conf --tail-file=/var/log/secure &

Sous Fedora, le fichier /var/log/secure est configuré à partir du fichier de configuration /etc/rsyslog.conf de votre démon rsyslog.

Vous pouvez exécuter automatiquement la commande ci-dessus au lancement de votre système en l’ajoutant à votre fichier /etc/rc.local !

Documentation

Si vous souhaitez creuser le sujet, je vous conseille le tuto présent sur le site eTutorials.org consacré à Swatch.

Sécurité  / Formateur Linux Formateur Syslog Linux rsyslog SMTP Swatch syslog 

Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)