systemadmin.es » Monitorización » Comparativa Logwatch y Logcheck

Comparativa Logwatch y Logcheck

En el foro, gonav ha hecho una comparativa entre logwatch y logcheck.

logcheck

Podemos ver a continuación un ejemplo de salida de logcheck:

System Events
=-=-=-=-=-=-=
Jul  9 23:49:34 debian-server kernel: [    2.240354] usb usb3: Manufacturer: Linux 2.6.26-2-686 uhci_hcd
Jul  9 23:49:34 debian-server kernel: [    2.240421] usb usb3: SerialNumber: 0000:00:1d.2
Jul  9 23:49:34 debian-server kernel: [    2.241043] usb usb4: configuration #1 chosen from 1 choice
Jul  9 23:49:34 debian-server kernel: [    2.272027] usb 1-1: new low speed USB device using uhci_hcd and address 2
Jul  9 23:49:34 debian-server kernel: [    2.348070] usb usb4: New USB device found, idVendor=1d6b, idProduct=0001
Jul  9 23:49:34 debian-server kernel: [    2.348095] usb usb4: New USB device strings: Mfr=3, Product=2, SerialNumber=1
Jul  9 23:49:34 debian-server kernel: [    2.348095] usb usb4: Product: UHCI Host Controller
[...]

Security Events for su
=-=-=-=-=-=-=-=-=-=-=-
Dec 24 23:56:53 debian-server su[29258]: pam_unix(su:auth): authentication failure; logname=user uid=1000 euid=0 tty=/dev/pts/0 ruser=user rhost=  user=root
Dec 24 23:56:55 debian-server su[29258]: FAILED su for root by user
[...]

gonav ha hecho un manual para instalar logcheck.

Logwatch

Para el caso de logwatch también podemos ver una salida de ejemplo a continuación:

 ################### Logwatch 7.3 (03/24/06) ####################
        Processing Initiated: Tue Dec 29 04:02:09 2009
        Date Range Processed: yesterday
                              ( 2009-Dec-28 )
                              Period is day.
      Detail Level of Output: 0
              Type of Output: unformatted
           Logfiles for Host: ejemplo.systemadmin.es
  ################################################################## 

 --------------------- ftpd-xferlog Begin ------------------------ 

 TOTAL KB OUT: 28324KB (28MB)
 TOTAL KB IN: 29KB (0MB)

 ---------------------- ftpd-xferlog End ------------------------- 

 --------------------- qmail-send Begin ------------------------ 

 Emails from (Threshold of 10):
 	 - 769 Time(s)
 	ejemplo@ejemplo.com - 83 Time(s)
 	ejemplo@gmail.com - 19 Time(s)
 	ejemplo@ejemplo.ejemplo.com - 16 Time(s)
 	ejemplo@ejemplo.com - 15 Time(s)
 	ejemplo@gmail.com - 12 Time(s)

 Emails to Remote Server (Threshold of 10):
 	ejemplo@gmail.com - 24 Time(s)
 	ejemplo@gmail.com - 11 Time(s)
 	ejemplo@systemadmin.es - 11 Time(s)

 Emails to Local Server (Threshold of 10):
 	ejemplo.com-ejemplo@ejemplo.com - 23 Time(s)
 	ejemplo.com-ejemplo@ejemplo.com - 13 Time(s)

 Remote Server Responses:
 	Deferral(421) - 2 Time(s) - Domain service not available, closing transmission channel.
 	Success(250) - 237 Time(s) - Requested mail action OK, completed.

 	Percentage(s):
 		Deferral - 0.84 %
 		Success - 99.16 %

 ---------------------- qmail-send End ------------------------- 

 --------------------- SSHD Begin ------------------------ 

 Users logging in through sshd:
    jordi:
       10.10.10.25 (ejemplo.ejemplo.com): 1 time
    ejemplo:
       10.10.10.77 (ejemplo2.ejemplo.COM): 2 times

 Refused incoming connections:
       10.10.10.205 (10.10.10.205): 1 Time(s)
       10.10.10.131 (10.10.10.131): 1 Time(s)
       10.10.101.39 (10.10.101.39): 1 Time(s)
       10.10.177.150 (10.10.177.150): 1 Time(s)
       10.10.81.68 (10.10.81.68): 1 Time(s)

 ---------------------- SSHD End ------------------------- 

 --------------------- vpopmail Begin ------------------------ 

 Password Failures:
 	(pass - 3 Time(s)

 ---------------------- vpopmail End ------------------------- 

 --------------------- Disk Space Begin ------------------------ 

 Filesystem            Size  Used Avail Use% Mounted on
 /dev/sda1             5.0G  1.8G  2.9G  38% /
 /dev/sda2             683G  319G  330G  50% /home

 ---------------------- Disk Space End ------------------------- 

 ###################### Logwatch End #########################

También gonav ha hecho un manual para instalar logwatch.

Personalmente las características que me gustaría destacar de los dos software son:

  1. Logwatch destruye el formato del log original para aportar un resumen. Con esto perdemos parte de los datos que pueden ser relevantes
  2. Logcheck agrupa en categorías log eventos del log sin resumir, con lo que en caso de muchos eventos se pueden perder datos relevantes entre la inmensidad de datos irrelevantes

Las dos cosas son buenas y malas al mismo tiempo, por lo que no es que haya software mejor o peor sino mas o menos adecuado a cada necesidad.

Relacionados

  • No hay posts relacionados.
1
Dentro de Monitorización December 29, 2009

Imprimir Imprimir

One comment to “Comparativa Logwatch y Logcheck”

  1. Jorge Medina wrote:
    11. January 2010 at 4:02 am :

    En lo personal prefiero Logwatch, lo uso especialmente para reportes de sistemas de correo como postfix y amavisd-new usando las extensiones de Mike Cappela http://www.mikecappella.com/logwatch/, algo que me gusta de Logwatch es que puedes incrementar el nivel de severidad de los mensajes reportados, en lo personal uso el nivel med para los reportes diarios y para reportes detallados uso la opción high, ejemplo:

    # logwatch --service postfix --detail high --mailto postmaster@example.com

    Saludos

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>