问题[logwatch](server)

我有一个 VPS，我每天都会收到一个超级拥挤的 Logwatch。

我不是 Debian 专家，所以我不知道这是否正常，或者我是否应该担心。

有什么意见吗？

 ################### Logwatch 7.4.0 (03/01/11) #################### 
        Processing Initiated: Wed Apr 15 06:25:28 2020
        Date Range Processed: yesterday
                              ( 2020-Apr-14 )
                              Period is day.
        Detail Level of Output: 0
        Type of Output/Format: mail / text
        Logfiles for Host: ***.***.**
 ################################################################## 

 --------------------- fail2ban-messages Begin ------------------------ 

 Banned services with Fail2Ban:              Bans:Unbans
    ssh:                                                    [495:500]

 ---------------------- fail2ban-messages End ------------------------- 


 --------------------- httpd Begin ------------------------ 


 Connection attempts using mod_proxy:
    113.128.105.226 -> www.baidu.com:443: 1 Time(s)
    119.118.30.23 -> www.ipip.net:443: 1 Time(s)
    223.12.78.165 -> cn.bing.com:443: 1 Time(s)
    45.13.93.90 -> ip.ws.126.net:443: 1 Time(s)

 A total of 993 sites probed the server 
    100.18.10.141
    101.165.194.135
    102.115.161.115
    103.214.12.244
    103.80.239.154
    104.191.118.29
    104.192.236.93
    106.180.4.213
    107.141.74.125
    108.17.75.210
    108.70.82.189
    109.112.38.174
    109.116.190.21
    109.117.136.112
    109.118.88.47
    [...]

 ---------------------- httpd End ------------------------- 


 --------------------- iptables firewall Begin ------------------------ 


 Listed by source hosts:
 Logged 4735 packets on interface eth0
   From 2.25.218.189 - 16 packets to tcp(443) 
   From 2.32.62.225 - 8 packets to tcp(443) 
   From 2.34.179.95 - 4 packets to tcp(443) 
   From 2.36.160.255 - 4 packets to tcp(443) 
   From 2.37.140.177 - 1 packet to tcp(443) 
   From 2.39.41.23 - 10 packets to tcp(443) 
   From 2.45.1.230 - 3 packets to tcp(443) 
   From 2.45.152.99 - 2 packets to tcp(443) 
   From 2.102.45.174 - 2 packets to tcp(443) 
   From 2.132.43.242 - 1 packet to tcp(80) 
   From 2.177.207.154 - 1 packet to tcp(443) 
   From 2.178.237.89 - 1 packet to tcp(80) 
   From 2.180.124.124 - 1 packet to tcp(22) 
   From 2.181.21.231 - 3 packets to tcp(80) 
   From 2.181.67.150 - 3 packets to tcp(22) 
   From 2.186.1.136 - 2 packets to tcp(80) 
   From 2.186.43.121 - 1 packet to tcp(443) 
   [...]

 ---------------------- iptables firewall End ------------------------- 


 --------------------- pam_unix Begin ------------------------ 

 sshd:
    Authentication Failures:
       root (222.186.190.17): 180 Time(s)
       unknown (78.107.220.5): 82 Time(s)
       unknown (139.217.218.255): 48 Time(s)
       root (9.213.155.104.bc.googleusercontent.com): 47 Time(s)
       root (206.189.164.136): 41 Time(s)
       unknown (134.209.228.253): 41 Time(s)
       root (125.74.47.230): 38 Time(s)
       root (163.172.178.167): 36 Time(s)
       root (ns3003413.ip-5-196-75.eu): 36 Time(s)
       root (106.12.2.81): 35 Time(s)
       root (184.13.240.142): 35 Time(s)
       unknown (9.213.155.104.bc.googleusercontent.com): 35 Time(s)
       [...]

    Invalid Users:
       Unknown Account: 2879 Time(s)


 ---------------------- pam_unix End ------------------------- 


 --------------------- SSHD Begin ------------------------ 


 Illegal users from:
    undef: 1441 times
    1.53.158.156: 1 time
    1.214.156.163: 43 times
    2.184.4.3: 46 times
    3.133.0.24 (ec2-3-133-0-24.us-east-2.compute.amazonaws.com): 31 times
    5.135.94.191 (ip191.ip-5-135-94.eu): 36 times
    5.135.181.53 (ns3120718.ip-5-135-181.eu): 27 times
    5.147.173.226 (ip-5-147-173-226.unitymediagroup.de): 1 time
    [...]

 Login attempted when not in AllowUsers list:
    backup : 18 Time(s)
    bin : 32 Time(s)
    daemon : 5 Time(s)
    games : 3 Time(s)
    irc : 1 Time(s)
    list : 1 Time(s)
    lp : 1 Time(s)
    mail : 2 Time(s)
    man : 1 Time(s)
    messagebus : 3 Time(s)
    mysql : 26 Time(s)
    news : 3 Time(s)
    nobody : 2 Time(s)
    postfix : 1 Time(s)
    proxy : 1 Time(s)
    root : 4881 Time(s)
    sshd : 3 Time(s)
    sync : 3 Time(s)
    sys : 5 Time(s)
    uucp : 3 Time(s)
    www-data : 6 Time(s)

 ---------------------- SSHD End ------------------------- 




 ###################### Logwatch End ######################### 

我的 logwatch 每天都会向我显示来自我的 postfix 日志的大量这些消息。谁能解释一下这是什么意思？

    1   Jan  2 14:01:50 interface postfix/smtpd[21465]: smtp_stream_setup: maxtime=300 enable_deadline=0

任何提示都非常感谢

logwatch文档说该LogFile命令可以处理绝对路径。因此，我在 /etc/logwatch/conf/services 中有一个 celery.conf 文件，如下所示：

Title = "Watchdog Celery worker errors"
LogFile = /var/log/208-celery.log
LogFile = /var/log/234-celery.log
LogFile = /var/log/403-celery.log
LogFile = /var/log/dev-celery.log 

（目的是将四个指定的日志文件组合成一个组用于 logwatch。）

我收到此错误：

*** Error: There is no logfile defined. Do you have a /etc/logwatch/conf/logfiles//var/log/208-celery.log.conf file ?
*** Error: There is no logfile defined. Do you have a /etc/logwatch/conf/logfiles//var/log/234-celery.log.conf file ?
*** Error: There is no logfile defined. Do you have a /etc/logwatch/conf/logfiles//var/log/403-celery.log.conf file ?
*** Error: There is no logfile defined. Do you have a /etc/logwatch/conf/logfiles//var/log/dev-celery.log.conf file ?
Can't open: /usr/share/logwatch/scripts/services/celery at /usr/sbin/logwatch line 1329.

LogFile由于某种原因，logwatch 似乎没有将命令解释为绝对路径。我已经确认那些日志文件肯定存在于这些路径中。至于“无法打开...”错误——我的猜测是，由于缺少有效的 LogFile 命令，logwatch 正在寻找默认配置。

那么：如何让 logwatch 正确地观看那些特定的日志文件？

注意：我使用的是在 Ubuntu 12.04.4 LTS 上运行的 logwatch v7.4.0。

我想安装 logwatch，但将其配置为使用 SendEmail（smpt 身份验证发件人）而不是 postfix。我不需要完整的邮件服务器，我想我可以使用 google smtp。

我检查了依赖项，logwatch 自动安装了 postfix。如果我根本不需要它在我的系统上怎么办？我该如何跳过它？如果我跳过它会导致问题吗？

注意：我使用的是 ubuntu 服务器 12.04 Sendemail 是 smpt auth perl 脚本：http ://caspian.dotconf.net/menu/Software/SendEmail/#installation

安装 sendemail 后缀仍然在 logwatch 的依赖项列表中。

我有许多使用 3ware RAID 控制器的 CentOS 5 服务器。

这些服务器向我的团队发送关于微小温度变化的消息，如下所示：

Jun  8 12:32:39 HOST smartd[1231]: Device: /dev/twa0 [3ware_disk_01], SMART Usage Attribute: 194 Temperature_Celsius changed from 119 to 118 
Jun  8 12:32:39 HOST smartd[1231]: Device: /dev/twa0 [3ware_disk_03], SMART Usage Attribute: 194 Temperature_Celsius changed from 122 to 121 

我怎样才能抑制这些消息？

根据 man smartd.conf：

要禁用 3 种报告中的任何一种，请将相应的限制设置为 0。可以省略尾随零参数。默认情况下，禁用所有温度报告 ('-W 0')。

在我的系统上，smartd 默认报告温度变化。

我尝试了手动方法。在/etc/smartd.conf中，我有以下内容：

/dev/twa0 -d 3ware,1 -a -W 0
/dev/twa0 -d 3ware,3 -a -W 0

但这仍然不会抑制消息。

由于这些消息显示在 /var/log/messages 中，因此 LogWatch 每晚都会发送不必要的电子邮件。

有时在我的每日 logwatch 报告中，我注意到在 httpd 下有一个部分用于“尝试使用已知的 hacks...”，另一个部分关于有多少站点探测了服务器。我对这些部分有几个问题：

1. apache 或 logwatch 是收集和报告已知黑客攻击的工具吗？哪个程序实际上知道它是一个已知的 hack？这些程序之一是否将某个位置或参考点用于其已知攻击列表？
2. logwatch 是否能够报告攻击是否成功，或者我是否需要一个单独的软件来获取它？
3. 当 logwatch 报告 x 数量的站点探测了服务器时，这到底意味着什么？是端口扫描吗？漏洞扫描？指纹识别？是 apache 向日志文件报告这个，还是 logwatch 分析日志文件并弄清楚？

当使用 apache 托管多个域时，查看包含虚拟主机名的 logwatch apache 输出很有用，但我只得到：

 --------------------- httpd Begin ------------------------

 Requests with error response codes
   400 Bad Request
      /: 1 Time(s)
      /robots.txt: 1 Time(s)

而我想要类似的东西

 --------------------- httpd Begin ------------------------

 Requests with error response codes
   400 Bad Request
      example.com/: 1 Time(s)
      example.org/robots.txt: 1 Time(s)

如何使用 logwatch 实现这一目标？

我正在尝试使用 logwatch 压缩来自 vsftpd 的 syslog 条目，以获取：

 vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator
 vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator
 vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator
 vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator
 vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator
 ... many many times

至

vsftpd: pam_succeed_if(vsftpd:auth): error retrieving information about user Administrator : 125 time(s)

我怎样才能做到这一点？

我已将以下内容添加到/etc/postfix/header_checks，以便 postfix 记录每封电子邮件的主题行：

/^subject: /    WARN

这会在/var/log/mail.log中生成日志条目，例如：

May 19 07:10:48 server postfix/cleanup[1737]: 12E9DB13A3: warning: header Subject: Test Message; from=<[email protected]>

我的logwatch 报告包含：

Header content warning (but passed): 1 Reason(s), 2030 time(s)

我已将以下两项都放在我的/etc/logwatch/conf/ignore.conf 中，但它们似乎并没有避免此消息：

warning: header Subject:
Header content warning (but passed): 1 Reason(s)

谁能告诉我我做错了什么？