Logwatch Nedir?
Logwatch belirli zaman aralıklarında calışıp sonuçları size gönderen modüler bir log analiz programıdır. Bu program komut satırından cağırılarak da çalıştırılabilir.

Logwatch'un çıktısı servis servistir bu sayade çıktıyı tek bir yada bir kaç servisi kapsayacak şekilde ayarlayabilirsiniz. Çıktıdan sorumlu alt scriptler çoğunlukla kaba log satırlarını düzenli bir forma dönüştürüler.

Logwatch genellikle çıktıda zaman bileşenini ihmal eder bu da şu anlama gelir raporlanan olayların talep edilen belirli bir zaman aralığında gerçekleşmiş oldugunu bilirsiniz, fakat detaylı ayrıntılar için yine de kaba log dosyalarını incelemeniz gerekecektir.

Debian'da Logwatch Kurulumu
Kurulum şu şekilde yapılır.

Bu komutu çalıştırıp logwatch'u yükledikten sonra yapmanız gereken gerekli ayarları yapmaktır. Logwatch kurulduğunda etc/logwatch/ dizini altında bir dizinler hiyerarşisi oluşturur. Bu dizine baktığınız da alt dizinlerin boş olduğunu görürsünüz,  bunun nedeni logwatch'un standard ayar dizini olan /etc yi ayarlar için bakılacak son nokta olarak kabul etmesidir; Program kurulumunda standart olarak gelen ayar dosyaları /usr/share/logwatch/ dizininin altında tutulur. Logwatch çalıştırıldığında ilk olarak bu dizine en son olarak da /etc/logwatch dizinine bakar.

Logwatch için ana ayar dosyası '/usr/share/logwatch/conf/logwatch.conf'  dosyasıdırç Logwatch'u ayarlamak için yapmanız gereken ya direk olarak bu ayar dosyasını değiştirmek yada bu ayar dosyasından farklı olarak etkin olmasını istediğiniz ayarları yazacağınız bir dosyayı /etc/logwatch/conf/logwatch.conf şeklinde kaydetmektir. /etc altında kaydedilen bu dosya /usr/share altında bulunan ana ayarların üzerine yazacaktır.

Varsayılan logwatch ayar dosyası aşağıdaki gibidir.

# NOTE:
#   All these options are the defaults if you run logwatch with no
#   command-line arguments.  You can override all of these on the
#   command-line.
# You can put comments anywhere you want to.  They are effective for the
# rest of the line.
# this is in the format of <name> = <value>.  Whitespace at the beginning
# and end of the lines is removed.  Whitespace before and after the = sign
# is removed.  Everything is case *insensitive*.
# Yes = True  = On  = 1
# No  = False = Off = 0

# Default Log Directory

# All log-files are assumed to be given relative to this directory.
LogDir = /var/log

# You can override the default temp directory (/tmp) here
TmpDir = /tmp

# Default person to mail reports to.  Can be a local account or a
# complete email address.
MailTo = root

# If set to 'Yes', the report will be sent to stdout instead of being
# mailed to above person.
Print = No

# Leave this to 'Yes' if you have the mktemp program and it supports
# the '-d' option.  Some older version of mktemp on pre-RH7.X did not
# support this option, so set this to no in that case and Logwatch will
# use internal temp directory creation that is (hopefully) just as secure
UseMkTemp = Yes

#
#       Some systems have mktemp in a different place
#
MkTemp = /bin/mktemp

# if set, the results will be saved in <filename> instead of mailed
# or displayed.
#Save = /tmp/logwatch

# Use archives?  If set to 'Yes', the archives of logfiles
# (i.e. /var/log/messages.1 or /var/log/messages.1.gz) will
# be searched in addition to the /var/log/messages file.
# This usually will not do much if your range is set to just
# 'Yesterday' or 'Today'... it is probably best used with
# Archives = Yes
# Range = All
# The default time range for the report...
# The current choices are All, Today, Yesterday
Range = yesterday

# The default detail level for the report.
# This can either be Low, Med, High or a number.
# Low = 0
# Med = 5
# High = 10
Detail = Med

# The 'Service' option expects either the name of a filter
# (in /etc/log.d/scripts/services/*) or 'All'.
# The default service(s) to report on.  This should be left as All for
# most people.
Service = All

# You can also disable certain services (when specifying all)
#Service = -zz-fortune
# If you only cared about FTP messages, you could use these 2 lines
# instead of the above:

#Service = ftpd-messages   # Processes ftpd messages in /var/log/messages
#Service = ftpd-xferlog    # Processes ftpd messages in /var/log/xferlog

# Maybe you only wanted reports on PAM messages, then you would use:
#Service = pam_pwdb     # PAM_pwdb messages - usually quite a bit
#Service = pam          # General PAM messages... usually not many

# You can also choose to use the 'LogFile' option.  This will cause
# logwatch to only analyze that one logfile.. for example:
#LogFile = messages
# will process /var/log/messages.  This will run all the filters that
# process that logfile.  This option is probably not too useful to
# most people.  Setting 'Service' to 'All' above analyizes all LogFiles
# anyways...

#
# some systems have different locations for mailers
#

mailer = /usr/bin/mail

#
# With this option set to 'Yes', only log entries for this particular host
# (as returned by 'hostname' command) will be processed.  The hostname
# can also be overridden on the commandline (with --hostname option).  This
# can allow a log host to process only its own logs, or Logwatch can be
# run once per host included in the logfiles.
#
# The default is to report on all log entries, regardless of its source host.
# Note that some logfiles do not include host information and will not be
# influenced by this setting.
#

#HostLimit = Ye

Bu dersin devamında:

Logwatch'un Debian'a Özgün Ayar Düzeltmeleri
Logwatch ile E-posta Bildirimleri