最近,我在 Logwatch 中的 Ubuntu 12.04 服务器的 SSH 日志摘要开始显示“11:正常关机,感谢您玩 [preauth]”以及“11:再见 [preauth]”和“11:断开连接”的条目用户”他们之前显示的消息。
在过去几周之前,我没有在日志中看到这条消息,也没有在我的旧服务器上看到它,这些服务器卡在 Ubuntu 10.04 上。我在谷歌上搜索了这条消息,也找不到任何明确的解释。
尝试登录和接收此消息的 IP 是随机的 hack 尝试,从 preauth 来看,我假设(希望)它们没有成功,但我想确切地知道此消息的含义以及它与其他消息的不同之处。
编辑附加信息:我的服务器已禁用密码身份验证和根身份验证
我们的 Linux 系统默认运行logwatch(8)实用程序。在 RedHat/CentOS/SL 系统上,Logwatch 由/etc/cron.daily/cronjob调用,然后它会每天发送一封包含结果的电子邮件。这些电子邮件的主题如下:
Subject: Logwatch for $HOSTNAME
问题在于,默认情况下,这些日常电子邮件过于嘈杂,并且包含许多其他服务(Nagios、Cacti、中央系统日志等)已经监控到的多余信息(HTTP 错误、每日磁盘使用情况等)。对于 100 个系统,电子邮件负载是无法承受的。人们忽略电子邮件,这意味着我们可能会错过 logwatch 发现的问题。
如何减少 logwatch 产生的噪音量,但仍然使用 logwatch 通知我们重大问题?
我会在下面发布我自己的答案,但我想看看其他人做了什么。
注意:我有一个关于 FreeBSD 的类似问题,在FreeBSD:periodic(8) is too noise。如何控制噪音水平?
此条目已记录在 Apache 访问日志中:
IP 地址 - - [00/00/0000:00:00:00 -0000] " " 301 - "-" "-"
它被 LogWatch 检测为空的 HTTP 响应,也被标记为成功的探测。
我很好奇这个请求是如何提出的,以及它如何被认为是一个成功的调查。以下是我可以通过特定问题破译的内容:
我在 /usr/share/logwatch/default.conf/logwatch.conf 中更改了 MailFrom=""
这改变了标题中的“发件人:”,但“发件人:”仍然是“root@ip-xx-xx-xx-xx.domain”
EC2 Linux AMI 测试版,Postfix 是邮件程序
当使用 apache 托管多个域时,查看包含虚拟主机名的 logwatch apache 输出很有用,但我只得到:
--------------------- httpd Begin ------------------------
Requests with error response codes
400 Bad Request
/: 1 Time(s)
/robots.txt: 1 Time(s)
而我想要类似的东西
--------------------- httpd Begin ------------------------
Requests with error response codes
400 Bad Request
example.com/: 1 Time(s)
example.org/robots.txt: 1 Time(s)
如何使用 logwatch 实现这一目标?
我已经通过今天在我的服务器上设置 Logwatch 并成功安装了这一切。
我在 Digital Ocean 上遵循了本指南并将MailFrom参数设置为:
MailFrom = mailer@mydomain.com
我正在使用 ssmtp 使用我的 Postmark App 帐户发送电子邮件,它正在通过我的 Postmark 活动源,但它显示“发件人”字段被设置为 root。
Personaladdress@hotmail.com 的 SMTP API 错误:“发件人”地址无效:“root”。
查看尝试发送的电子邮件的原始来源,它显示了这一行:
From: root
这是我用来生成发送的命令:
sudo logwatch --detail Low --mailto personaladdress@hotmail.com --service http --range today
我哪里出错了,或者我该怎么做才能让它发送,mailer@mydomain.com因为 Postmark 要求正确发送发件人地址,否则它将不允许它通过并返回错误
更多细节
Logwatch 版本:Logwatch 7.4.0 (released 03/01/11)
系统:Debian 8 (Jessie)
在我的服务器上使用 sSMTP 从 Postmark 调试日志发送电子邮件:
Config After Command Line Parsing:
supress_ignores -> 0
pathtozcat -> zcat
html_header -> /usr/share/logwatch/default.conf/html/header.html
logdir -> /var/log
hostlimit …我今天发现我的磁盘已满,我仅从删除多个网站的大部分日志中释放了 10%。我个人喜欢将日志保存为存档,因为无论出于何种原因我都可能需要回顾它们。我是管理 LAMP 服务器的新手,所以我想学习一些好的做法。我应该多久清理一次我的日志?我应该保留它们吗?我还可以定期做哪些其他事情来清除服务器的缓存和“临时”文件,以防止它再次耗尽所有磁盘空间?
我最近安装的 logwatch 报告显示了这个:
--------------------- httpd Begin ------------------------
0.78 MB transferred in 5864 responses (1xx 0, 2xx 4900, 3xx 0, 4xx 964, 5xx 0)
160 Images (0.16 MB),
857 Content pages (0.62 MB),
4847 Other (0.00 MB)
Requests with error response codes
404 Not Found
/%E2%80%98planeat%E2%80%99-film-explores-l ... greenfudge-org/: 1 Time(s)
/10-foods-to-add-to-the-brain-diet-to-help ... -function/feed/: 1 Time(s)
/10-ways-to-reboot-your-body-with-healthy- ... s-and-exercise/: 1 Time(s)
/bachmann-holds-her-ground-against-raising ... com-blogs/feed/: 1 Time(s)
/behind-conan-the-barbarians-diet/: 1 Time(s)
/tag/dietitian/: 1 Time(s)
/tag/diets/page/10/: 1 Time(s)
/tag/directory-products/feed/: 1 Time(s)
/wp-content/uploads/2011/06/1309268736-49.jpg: 1 Time(s)
/wp-content/uploads/2011/06/1309271430-30.jpg: …到目前为止,Logwatch 一直运行良好。我读了一个教程,你不应该在默认位置编辑配置
/usr/share/logwatch
相反,您应该将其移动到 /etc/logwatch
所以我这样做了,现在我收到了这个错误
/var/cache/logwatch No such file or directory at /usr/sbin/logwatch line 633.
有谁知道如何修复?或者我应该尝试删除 /etc 中的条目?
我尝试在以下位置运行 logwatch
[root@machine cron.daily]# ./0logwatch
ERROR: Date::Manip unable to determine TimeZone.
Execute the following command in a shell prompt:
perldoc Date::Manip
The section titled TIMEZONES describes valid TimeZones
and where they can be defined.
我的日期如下
root@machine cron.daily]# date
Thu Aug 23 06:25:21 GMT 2012
现在根据各种论坛中的详细信息,我尝试通过设置来解决此问题
/etc/timezone to “+0800”
但它没有用
我的/etc/localtime指向/usr/share/zoneinfo/GMT 并由傀儡管理
我该如何解决这个问题?我仍然希望我所有的机器都在 GMT 时区。
编辑:
可悲的是,
这两个更改都不起作用:
[root@machine cron.daily]# cat /etc/TIMEZONE
UTC
广达的
[root@machine cron.daily]# cat ~/.bash_profile
# .bash_profile
# Get the aliases and functions …logwatch ×10
linux ×3
apache-2.2 ×2
httpd ×2
301-redirect ×1
centos ×1
debian ×1
email ×1
email-server ×1
log-files ×1
logging ×1
logrotate ×1
monitoring ×1
perl ×1
postfix ×1
smtp ×1
ssh ×1
ssmtp ×1
syslog ×1
timezone ×1