Linux下日志文件监控系统Logwatch的使用记录

在维护Linux服务器时，经常需要查看系统中各种服务的日志，以检查服务器的运行状态，如登陆历史、邮件、软件安装等日志。作为运维人员，我们一个个去检查会十分不方便；且大多时候，这会是一种被动的检查，即只有在发现系统运行异常时才会想到去查看日志以获取异常的信息。那么如何主动、集中的分析这些日志，并产生报告，定时发送给管理员就会显得十分重要。对于运维人员来说，发现一款能把原始的日志文件转换成更人性化的记录摘要的工具，将会受益无穷。

logwatch介绍：
1）logwatch是一款用Perl 语言编写的开源日志解析分析器。它能对原始的日志文件进行解析并转换成结构化格式的文档，也能根据您的使用情况和需求来定制报告。logwatch的主要目的是生成更易于使用的日志摘要，并不是用来对日志进行实时的处理和监控的。正因为如此，logwatch通常被设定好时间和频率的自动定时任务来调度运行或者是有需要日志处理的时候从命令行里手动运行。一旦日志报告生成，logwatch 可以通过电子邮件把这报告发送给您，您可以把它保存成文件或者直接显示在屏幕上。
2）Logwatch报告的详细程度和报告覆盖范围是完全可定制化的。Logwatch 的日志处理引擎也是可扩展的，从某种意义上来说，如果您想在一个新的应用程序中使用 logwatch 功能的话，只需要为这个应用程序的日志文件编写一个日志处理脚本（使用 Perl 语言），然后挂接到 logwatch 上就行。
3）logwatch的缺点就在于：在它生成的报告中没有详细的时间戳信息，而原来的日志文件中是存在的。只能知道被记录下来的一段时间之内的特定事件，如果想要知道精确的时间点的信息，就不得不去查看原日志文件了。

logwatch安装
Logwatch能够对Linux 日志文件进行分析，并自动发送mail给相关处理人员，可定制需求。Logwatch的mail功能是借助宿主系统自带的mail server发邮件的，所以系统需安装mail server（如sendmail，postfix等）

查看logwatch帮助

常用参数选项的解释：

安装后的目录文件说明：
配置文件在/etc/logwatch目录下：

相关配置模板文件是/usr/share/logwatch/default.conf/logwatch.conf

默认情况下使用的是/usr/share/logwatch/default.conf/logwatch.conf作为主配置文件，但在/etc/logwatch/conf/logwatch.conf中的存在配置选项会覆盖前一个（/usr/share/logwatch下的logwatch.conf还是会起作用，比如在/etc/logwatch的logwatch.conf中没有的选项）。但优先级最高的是在执行命令行中指定的选项。
也就是说：如果不配置/etc/logwatch/conf/logwatch.conf，即它是一个空文件，那么默认配置会使用 /usr/share/logwatch/default.conf/logwatch.conf

在/etc/logwatch下也存在一个与/usr/share/logwatch类似的目录结构，可以在这里添加自定义的监控日志信息。
比如说：logwatch监控时的选项--service后面跟的是server name，默认情况下/etc/logwatch/scripts/services/目录下为空，可以将/usr/share/logwatch/scripts/services下的服务监控脚本拷贝到/etc/logwatch/scripts/services/下

logwatch应用
首先要确保服务器的自带邮箱服务启动了（这里我的是postfix）.默认报告的邮件是从logwatch本机发出的，即邮件发件人是“logwatch@$hostname”

接着进行下面安装操作

1）直接命令行手动监控

上面命令中采用的是邮箱格式的报告输出，如下：

下面采用html格式的报告输出，通常情况下，我都会使用这个格式：

收到的邮件中的监控报告如下：

注意一个细节：
如上在邮箱里发现报告里的内容太多，有一些无关紧要的服务的监控结果不想打印在报告里，那么就可以在监控时过滤掉这些服务项。
可以对比邮件里出现的监控列表里的服务去过滤，服务名最后以/etc/logwatch/scripts/services下的名称为准，服务名不正确，会报错说不识别。如下：

再次查看邮件，发现被过滤掉的服务的监控结果就不会出现在报告里了

这种方式不需要logwatch的配置文件，比较简单，可以将执行命令放到shell脚本中，结合crontab每天定时执行!

----------------------------------------------------------------------------------------------
发送邮件的时候报错如下：
You have old files in your logwatch tmpdir (/var/cache/logwatch):
logwatch.A3V8WQ6_
The directories listed above were most likely created by a
logwatch run that failed to complete successfully. If so, you
may delete these directories.

解决办法：
# rm -rf /var/cache/logwatch/*
-------------------------------------------------------------------------------------------

2）采用配置文件的方式
需要编辑的文件是/etc/logwatch/conf/logwatch.conf，以下是对配置选项的解释：

下面是自己线上服务器上使用过的一个配置示例：

另外注意：
logwatch的工作不是监控日志异常后及时报警的工具，并不具有及时性，logwatch默认每天定时发送一封整合的邮件：
logwatch默认在crontab定时任务设定目录下存在/etc/cron.daily/0logwatch脚本：

正是因为这个默认的定时脚本，所以只要如上配置好logwatch.conf文件后，每天都会自动收取一封整合的报告邮件

如果在logwatch.conf中显式设置了选项DailyReport = No，则会取消logwatch每日执行任务。
如果要修改logwatch在cron.daily的执行时间，可以删掉/etc/cron.daily/0logwatch这个文件，然后添加到/etc/crontab里去定义执行时间。即：

又或者是删除/etc/cron.daily/0logwatch文件，然后自己在crontab里自定义发送：