logcheck — консольная C (си) утилита уведомляющая системного администратора об аномалиях в файлах журналов (лог-файлах) по электронной почте.
logcheck согласно заданному временному промежутку просматривает системные лог-файлы на предмет аномальных записей (попыток взлома, подозрительной активности работы фоновых приложений и пр), помогая выявить проблемы и отправляет "резюме журналов" на электронную почту.
При установке logcheck создаёт в системе нового пользователя и группу (одноимённых), а также делает запись для демона-планировщика CRON (Command Run ON), запускающего утилиту "по умолчанию" каждый день в два часа ночи. Новый пользователь создаётся для того чтобы избежать запуска утилиты с правами администратора (root).
Поставляется logcheck с встроенной базой данных общих/бесполезных лог-сообщений, для фильтрации не представляющей интереса и/или безопасной информации (можно добавить собственные правила). Утилитой отсылаются на электронную почту все сообщения что не занесены в базу данных.
Основные настройки задаются в конфигурационном файле:
/etc/logcheck/logcheck.conf
При настройке необходимо убедится что logcheck разрешен доступ на чтение лог файлов. Изначальные настройки большинстве случаев не требуют коррекции, достаточно выбрать один из трёх профилей/уровней безопасности (workstation, server или paranoid). Встроенная утилита logcheck-test позволит проверить имеющиеся настройки и/или получить данные о текущем состоянии.
logcheck ранее был частью набора консольных утилит для автоматизации аудита лог-файлов Sentry Tools (PortSentry, Logcheck/LogSentry и HostSentry), но в дальнейшем была полностью переписана и выделена в самостоятельный проект.
Лицензия: GNU General Public License version 2.0 (GPLv2)
