Sistem Linux mencatat banyak informasi penting ke dalam file log. Setiap layanan yang Anda pasang biasanya memiliki file log sendiri. Ini tambahan dari log bawaan sistem, seperti dmesg, log booting, log package manager, dan lainnya. File log ini bisa berisi ribuan entri dalam waktu singkat.
Memang data log ini berguna untuk memahami apa yang terjadi di sistem Anda (terutama saat ada masalah). Namun, file log bisa menjadi sangat besar dan sulit dibaca. Misalnya, peringatan penting mungkin terkubur di antara ratusan entri lainnya. Mencari peringatan ini secara manual akan memakan waktu lama.
Logwatch hadir untuk membantu administrator sistem. Program ini akan memantau file log yang Anda tentukan dan memberi tahu Anda melalui email jika ada entri yang perlu diperhatikan. Setelah kita mengkonfigurasi Logwatch, program ini akan memeriksa kejadian yang perlu diwaspadai secara otomatis.
Tutorial ini akan membahas langkah demi langkah untuk menginstal dan mengkonfigurasi Logwatch di sistem Linux.
Apa yang akan Anda pelajari:
- Cara menginstal Logwatch di semua distro Linux utama
- Cara mengkonfigurasi Logwatch
- Cara menjalankan Logwatch secara manual dengan perintah logwatch
- Cara menjadwalkan pemantauan Logwatch secara teratur dengan cron
- Menggunakan Logwatch untuk Pemantauan Keamanan Dasar di Linux
Persiapan
Akses root atau sudo di sistem Linux.
Perintah Linux dasar yang membutuhkan akses root akan ditandai dengan #, sedangkan perintah untuk pengguna biasa ditandai dengan $.
Instalasi Logwatch
Logwatch tidak terpasang secara default di Linux. Untungnya, program ini tersedia di repositori perangkat lunak bawaan distro Linux utama. Gunakan perintah yang sesuai di bawah ini untuk menginstal Logwatch dengan package manager sistem Anda.
Ubuntu, Debian, dan Linux Mint:
$ sudo apt update
$ sudo apt install logwatch
Fedora, CentOS, AlmaLinux, Rocky Linux, dan Red Hat:
$ sudo dnf install logwatch
Arch Linux dan Manjaro:
$ sudo pacman -S logwatch
Selama instalasi awal, Anda mungkin diminta untuk mengkonfigurasi pengaturan email. Pilih jenis mail server yang Anda inginkan, beserta pengaturan lainnya seperti alamat email tujuan untuk Logwatch.
Konfigurasi Logwatch
Setelah Logwatch terinstal, mari kita lihat konfigurasi dasar untuk mulai menggunakannya memantau file log.
File konfigurasi default untuk Logwatch terletak di /usr/share/logwatch/default.conf/logwatch.conf. Sebaiknya buat salinan file ini dan edit salinannya. Ini memastikan pembaruan mendatang tidak akan menimpa pengaturan kita. Berikut cara menyalin file ke lokasi yang benar:
$ sudo cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/Selanjutnya, gunakan nano atau editor teks pilihan Anda untuk membuka file tersebut:
$ sudo nano /etc/logwatch/conf/logwatch.confPengaturan pertama yang perlu dipertimbangkan adalah Output. Kita dapat memilih antara stdout (terminal), mail (email), dan file. Opsi ini menentukan ke mana output Logwatch akan dikirim. Konfigurasinya akan terlihat seperti berikut:
Output = stdout # Kirim ke terminal
Output = mail # Kirim ke email
Output = file # Kirim ke file
Pilih metode output yang Anda inginkan sebelum melanjutkan ke pengaturan lainnya.
Jika Anda memilih untuk mengirim output Logwatch ke file pada langkah 1 dengan opsi Output = file, maka Anda perlu mengatur nilai Filename untuk menentukan jalur penyimpanan output Logwatch.
Filename = /tmp/logwatchPengaturan lain yang perlu kita konfigurasi adalah LogDir. Pengaturan ini memberi tahu Logwatch di mana file log yang ingin dipantau disimpan. Kita dapat menggunakan sebanyak mungkin pengaturan LogDir yang kita inginkan, jika kita memiliki beberapa direktori yang perlu dipantau oleh Logwatch.
LogDir = /var/log # Direktori log default
LogDir = /some/other/log/path # Direktori log tambahan
Tentu saja, masih banyak pengaturan lain yang ada di file konfigurasi ini, tetapi yang disebutkan di atas adalah beberapa yang paling penting. Silakan baca sendiri file konfigurasi, lihat contoh yang disediakan, dan buat perubahan yang diperlukan sesuai keinginan Anda.
Menjalankan Logwatch Secara Terjadwal
Jika Anda ingin menjalankan Logwatch secara terjadwal, Anda dapat menggunakan cron. Buka crontab Anda dengan perintah berikut:
$ sudo crontab -e
Tambahkan entri cron berikut untuk menjalankan Logwatch setiap hari pada jam 00:00:
0 0 * * * logwatch --detail Low --range today
Simpan crontab Anda dan tutup editor.
Setelah itu, periksa direktori yang dikonfigurasi untuk penyimpanan output Logwatch untuk melihat data yang ditangkap oleh Logwatch. Atau, jika Anda mengkonfigurasi opsi email, Anda akan menerima laporan Logwatch di kotak masuk Anda setiap hari.