CentOS 7でサーバーを構築したら、システム・アプリケーションが正常に動作しているか、不正なアクセスはないかなどをログで確認するためにツールを利用しますが、どのツールを利用したらいいか迷うときがあります。
ここでは、CentOS 7に導入して利用できるログ監視系ツール(Logwatch, Logcheck, Swatch, Logmon)の特徴について簡単にまとめておきたいと思います。
ツール選定の参考にしていただければうれしいです。
目次
ログレポート系
ここでは、ログを見やすくしてくれるログレポートツール2つを紹介します。
Logwatch
Logwatchは、ログファイルを分析し、分析結果をレポートとして電子メールで送信してくれるツールです。インストールすると、デフォルトで毎日cronジョブとして実行されます。CentOS 7では、標準のリポジトリにパッケージが用意されています。
Logcheck
Logcheckは、特定のログファイルから指定したパターンにマッチしたログを検出し、検出結果をレポートとして電子メールで送信してくれるツールです。インストールすると、デフォルトで1時間ごとにcronジョブとして実行されます。CentOS 7では、EPELリポジトリにパッケージが用意されています。レポートは、システムイベント、セキュリティイベント、攻撃アラートの3つのレイヤーに分類されます。
ログ監視系
ここでは、ログを監視するツール2つを紹介します。
Swatch
Swatchは、Linux環境で昔から使われているリアルタイムにログを監視するツールです。特定のログファイルをリアルタイムに監視して、指定したパターンにマッチしたら、電子メールで送信や、スクリプト実行などができます。CentOS 7では、EPELリポジトリにパッケージが用意されています。Swatchは、監視するログファイルごとにプロセスが起動しますので、複数のログファイルを監視する場合は、少し面倒かもしれません。
Logmon
Logmonは、元はIBMが作成したリアルタイムにログを監視するツールです。Swatchと同じように、特定のログファイルをリアルタイムに監視して、指定したパターンにマッチしたら、電子メールで送信や、スクリプト実行などができます。パッケージとしては提供されていないので、ダウンロードサイトから、ダウンロードしてsetup.shを実行してインストールします。Logmonは、1つのプロセスで複数のログファイルを監視することができます。
GitHubのダウンロードリンク:
https://github.com/moomindani/logmon/archive/master.zip
あとがき
サーバーの監視方法は、自身で監視する方法以外にも、Zabbixなどの専用の監視サーバーを立てて監視するのも手ですが、まずは最小限の環境でどこまでできるかやってみるのも楽しいですね。