CentOS7:ログ監視ツール(logwatch, logcheck, swatch, logmon)の特徴まとめ

Linuxサーバーを構築したら、システム・アプリケーションが正常に動作しているか、不正なアクセスはないかなどをログで確認するためにツールを利用しますが、どのツールを利用したらいいか迷うときがあります。

ここでは、サーバー自身に導入して利用できるログ監視系ツール(Logwatch, Logcheck, Swatch, Logmon)の特徴について簡単にまとめておきたいと思います。

ツール選定の参考にしていただければうれしいです。

ログレポート系

ここでは、ログを見やすくしてくれるログレポートツール2つを紹介します。

Logwatch

Logwatchは、ログファイルを分析し、分析結果をレポートとして電子メールで送信してくれるツールです。インストールすると、デフォルトで毎日cronジョブとして実行されます。CentOS7では、標準のリポジトリにパッケージが用意されています。

Logcheck

Logcheckは、特定のログファイルから指定したパターンにマッチしたログを検出し、検出結果をレポートとして電子メールで送信してくれるツールです。インストールすると、デフォルトで1時間ごとにcronジョブとして実行されます。CentOS7では、EPELリポジトリにパッケージが用意されています。レポートは、システムイベント、セキュリティイベント、攻撃アラートの3つのレイヤーに分類されます。

ログ監視系

ここでは、ログを監視するツール2つを紹介します。

Swatch

Swatchは、Linux環境で昔から使われているリアルタイムにログを監視するツールです。特定のログファイルをリアルタイムに監視して、指定したパターンにマッチしたら、電子メールで送信や、スクリプト実行などができます。CentOS7では、EPELリポジトリにパッケージが用意されています。Swatchは、監視するログファイルごとにプロセスが起動しますので、複数のログファイルを監視する場合は、少し面倒かもしれません。

Logmon

Logmonは、元はIBMが作成したリアルタイムにログを監視するツールです。Swatchと同じように、特定のログファイルをリアルタイムに監視して、指定したパターンにマッチしたら、電子メールで送信や、スクリプト実行などができます。パッケージとしては提供されていないので、ダウンロードサイトから、ダウンロードしてsetup.shを実行してインストールします。Logmonは、1つのプロセスで複数のログファイルを監視することができます。

GitHubのダウンロードリンク:
https://github.com/moomindani/logmon/archive/master.zip

まとめ

サーバーの監視方法は、自身で監視する方法以外にも、Zabbixなどの専用の監視サーバーを立てて監視するのも手ですが、まずは最小限の環境でどこまでできるかやってみるのも楽しいですね。

参考

https://sourceforge.net/projects/logwatch/files/

http://logcheck.org/

https://sourceforge.net/projects/swatch/

スポンサーリンク