Как мониторить логи и уведомлять о критических событиях в linux?

Question

[Коал Коалыч]

Понадобилось хостить 3 сайта и встал вопрос о мониторинге логов с уведомлением на почту об авариях или попытках взлома?
Чем это можно сделать?

Answer 1

[Владимир Куц]

monit

Answer 2

[key don]

zabbix

Answer 3

[vreitech]

graylog

Answer 4

[hx510b]

1. Для контроля неудачных попыток войти есть fail2ban, который банит IP адреса настырных не прошенных гостей и умеет слать об этом письма при необходимости.
2. Для анализа логов и рассылки отчетов есть logwatch, по умолчанию раз в сутки смотрит логи и шлет письмо-отчет местному root, можно перенаправить куда хочется.
3. Для контроля работоспособности сервисов, состояния системы, контроля произвольных точек отказа придуман zabbix, но для одного хоста это будет тяжелым решением.
Возможно, первых двух пунктов для начала хватит.

Answer 5

[pfg21]

в самом простом случае - скриптом, который будет периодически запускаться на сайте, читать логи и слать письмо кому-нужно.

Comments

[hx510b]

и будет изобретение велосипеда
очень давно для этого есть logwatch

Answer 6

[Dark_Rider]

В логах всегда есть все попытки входа на сервер, что вообще понимать под попыткой взлома?

Comments

[Pavel]

Подбор пароля раз в минуту если в хосте вывесил порт ssh наружу

[kisaa]

Если о такой"критической"ситуации, как подбор пароля, слать почту, то ящик лопнет ) Почитайте логи, если стоит fail2ban - там натурально каждую минуту кто-то лезет со стандартными логинами.

[hx510b]

Pavel Tananykhin, можно перевесить ssh порт на нестандартный, чтобы не мучать атакующих и меньше этим заниматься. Но могут быть неудобства при активной работе с ssh, например с rsync.

[Pavel]

hx510b, блин, у меня висит gitlab. удобно по ssh проекты тянуть и толкать. Не охото доп порт ставить