デフォルトではゴミが毎日届くだけのLogwatchを、もうちょっと真面目に使ってみようと思います。
というか、それを言い訳に root@ 宛のメール読んでない人多いですよね?
基本的な設定方針は「異常や重要な変化だけ届いて欲しい」ので、現状のステータスや「想定内のエラー」ばかりを出力したりするサービスを削ります。できれば、設定ディレクティブ「Detail」に応じて、それぞれのサービスの中で本当の異常値だけを出力するような設定ができれば良いのですが、Logwatchの最低レベルであるLowに設定しても、ほとんどのサービスが正常値まで含めてしまうようです。
Logwatchは、/usr/share/logwatch/conf/logwatch.conf で指定されたデフォルト値に、/etc/logwatch/conf/logwatch.conf の設定値を上書きするようになっているので、/etc/logwatch/conf/logwatch.conf に以下のように設定してみました。
Service = "-zz-disk_space" Service = "-sshd" Service = "-http" Service = "-postfix" Service = "-named" Service = "-xntpd"
これで、ひとまず通常時のLogwatchの出力がなくなりメールが飛ばなくなりました。これでしばらく運用してみることにします。
追記(2012-04-04)
これで二ヶ月ほど運用していますが、それなりに「イレギュラーっぽいログ」が記録されたときだけ送ってくれています。普通に使ってるとspam送信機でしかないlogwatchもっとみんな使ってみてご意見欲しいです。
まあ、ちゃんと大規模な環境でやってるところはsyslogサーバ立ててやってるんでしょうけど、数台規模の小型案件だとこういう小さな運用も必要になってくるということで。
追記(2013-06-10)
xnpdが「Total synchronizations」を出す環境があるようで、-xntpd を追加しました。
