我使用的是 Debian 10.4,并且全新安装了 logwatch。除 logwatch(版本 7.5.0)输出除 http 日志报告之外的所有内容外,其他一切都按预期运行。
我运行了 logwatch--debug med并在调试输出中看到了:
Preprocessing LogFile: http
'/tmp/logwatch.hVSrPWg3/http-archive' '/var/log/apache2/www.anonicloud.ch_access.log.1' '/var/log/apache2/other_vhosts_access.log' '/var/log/apache2/www.anonicloud.ch_access.log' | /usr/bin/perl /usr/share/logwatch/scripts/shared/expandrepeats ''| /usr/bin/perl /usr/share/logwatch/scripts/shared/applyhttpdate ''>/tmp/logwatch.hVSrPWg3/http
Preprocessing LogFile: http-error
'/var/log/apache2/error.log' '/var/log/apache2/www.anonicloud.ch_error.log' | /usr/bin/perl /usr/share/logwatch/scripts/shared/applystddate '\[%a %b %d %H:%M:%S(\.\d*)? %Y\] '| /usr/bin/perl /usr/share/logwatch/scripts/shared/removeheaders '\[\w{3} \w{3} \d{2} \d\d:\d\d:\d\d(\.\d*)? \d{4}\] '>/tmp/logwatch.hVSrPWg3/http-error
... 和 ...
Processing Service: http
( cat /tmp/logwatch.hVSrPWg3/http | /usr/bin/perl /usr/share/logwatch/scripts/services/http) 2>&1
export LOGWATCH_LOGFILE_LIST='/var/log/apache2/error.log /var/log/apache2/www.anonicloud.ch_error.log '
export LOGWATCH_ARCHIVE_LIST=''
export LOGWATCH_LOGFILE_LIST='/var/log/messages '
export LOGWATCH_ARCHIVE_LIST='/var/log/messages.1 /var/log/messages.2.gz /var/log/messages.3.gz '
所以我认为我的 http 日志文件被正确解析了。
但是当我检查输出时,我找不到任何类似其他服务的参考:
# Why I can't find the same for http???
--------------------- fail2ban-messages Begin ------------------------
DEBUG: Inside Fail2Ban Filter
---------------------- fail2ban-messages End -------------------------
/usr/share/logwatch/default.conf/ignore.conf是空的(好吧,所有内容都被注释掉了)并且在我的配置文件中我没有排除任何东西。
编辑:我位于 nginx 反向代理后面;在我的 apache 服务器上,我启用了mod_remoteip所有内容并将其替换%h为%a日志文件格式。
非常感谢任何线索。
答案1
尝试使用--detail High(或Med)。脚本似乎http几乎没有输出任何内容(使用 mod_proxy 的连接尝试、检测到可能的漏洞、用户成功登录),当--detail)。当未设置 (默认为 0) 或 < 4 时SourceForge。
样品:
my $detail = $ENV{'LOGWATCH_DETAIL_LEVEL'} || 0;
# ...
if (($detail >4) and $total_hack_count) {
# ...
if (keys %ban_ip and $detail) {
# ...
if (keys %needs_exam and ($detail or $a5xx_resp)) {
# ...
# etc...