Logwatch：Linux Ubuntu / CentOS 系统登录、访问等日志监控工具

Linux Ubuntu / CentOS 是最常见的 Linux 发行版，我们可以安装必要的监控工具来监控系统性能。我们的日志是有关系统内部事件的宝贵信息来源，可以提醒您注意安全问题，服务问题和硬件问题。 但是，您只知道他们实际告诉他们的内容。 每天登录每个系统并手动查看日志将是一项繁重的工作。 幸运的是，您可以使用logwatch工具自动执行此任务，该工具是可自定义的，可插入的日志监视系统。

一、安装 Logwatch

安装方法很简单，对于不同系统方法如下：

Debian / Ubuntu：

 apt-get install logwatch

CentOS / Fedora：

yum -y install logwatch 

二、使用 Logwatch

正常来说，输出情况如下：

    $ logwatch
 ################### Logwatch 7.4.0 (03/01/11) #################### 
        Processing Initiated: Tue Apr  7 22:30:28 2020
        Date Range Processed: yesterday
                              ( 2020-Apr-06 )
                              Period is day.
        Detail Level of Output: 0
        Type of Output/Format: stdout / text
        Logfiles for Host: myserver.example.com
 ################################################################## 
 --------------------- SSHD Begin ------------------------ 
 Illegal users from:
    undef: 62 times
    51.91.140.218: 5 times
    76.72.169.18 (egh4.com): 3 times
    88.146.200.8: 6 times
    92.63.194.7: 2 times
    92.63.194.104: 1 time
    92.63.194.105: 2 times
    92.63.194.106: 1 time
    92.63.194.107: 1 time
    92.63.194.108: 2 times
    93.174.93.10 (storedatatips.com): 2 times
    93.235.99.248 (p5DEB63F8.dip0.t-ipconnect.de): 2 times
    144.217.207.15 (ip15.ip-144-217-207.net): 1 time
    176.37.60.16 (host-176-37-60-16.la.net.ua): 2 times
    177.161.47.151 (177-161-47-151.user.vivozap.com.br): 35 times
    179.106.64.134 (179-106-64-134.hnnet.com.br): 1 time
    185.234.218.68: 1 time
    193.142.146.21: 64 times
    195.231.8.141 (host141-8-231-195.serverdedicati.aruba.it): 4 times
    203.185.4.41 (mail.belfry.com.hk): 13 times
    205.185.120.163 (.): 5 times
    212.85.80.247 (h-80-247.A165.priv.bahnhof.se): 2 times

 Received disconnect:
    11: Bye Bye [preauth] : 435 Time(s)
    11: Normal Shutdown, Thank you for playing [preauth] : 22 Time(s)
 ---------------------- SSHD End ------------------------- 

 --------------------- Disk Space Begin ------------------------ 
 Filesystem      Size  Used Avail Use% Mounted on
 devtmpfs        486M     0  486M   0% /dev
 /dev/vda1        25G  1.6G   22G   7% /
 ---------------------- Disk Space End ------------------------- 

 ###################### Logwatch End ######################### 

在这里，我们可以看到尝试登录的次数（可能是因为ssh仍在端口22上运行）以及磁盘空间的状态。 这是有关“低”设置的详细示例。 如果我们打开“详细信息”的“高”输出，则可以准确看到哪个用户尝试登录。

关于 logwatch 的好处之一是，当您添加服务（电子邮件，httpd 等）时，logwatch 会检测到此情况，并在报表中添加包含相关信息的部分。

配置 logwatch 每天将报告邮寄给您很容易，这样可以快速查看。

修改 /etc/logwatch/conf/logwatch.conf 并添加以下行：

    MailTo = <your email>
    Output = email
    Detail = High

默认情况下，Debian 和 CentOS 都创建 cron 作业以每晚（在 /etc/cron.daily中）运行 logwatch，因此您应该开始每夜接收报告。

参考：https://lowendbox.com/blog/keeping-a-logwatchful-eye-on-your-vps-with-logwatch/