日々の管理は，やはり/var/log以下のログを随時チェックすることが大事ですが，膨大なログを，逐一チェックするのは大変に手間のかかる作業です．

しかし，我々には大きな見方がいます．その名はlogcheck．大事なログだけを抜粋して設定時間おきにメールで送ってきてくれます．

RPMで入れて，早速設定します．まず，どのログファイルチェックするかを設定します．/usr/bin/logcheck.shを編集します．以下に抜粋を示します．

$LOGTAIL /var/log/messages > $TMPDIR/check.$$
$LOGTAIL /var/log/secure >> $TMPDIR/check.$$
$LOGTAIL /var/log/maillog >> $TMPDIR/check.$$
$LOGTAIL /var/log/router >> $TMPDIR/check.$$
$LOGTAIL /var/log/httpd/error_log >> $TMPDIR/check.$$

次に，どんなログが大事で，どんなログがいらないかを設定します．特に，いらないログを設定することは大事です．一杯送られてきたら意味がないです
から・・・．この設定は/etc/logcheck以下にありますが，今回はいらないログの設定を示します．/etc/logcheck/ignoreに
は，「こんな文字列があるものは，いらない！」という設定をすることができます．

authsrv.*AUTHENTICATE
cron.*CMD
cron.*RELOAD
cron.*STARTUP
ftp-gw.*: exit host
ftp-gw.*: permit host
ftpd.*ANONYMOUS FTP LOGIN
ftpd.*FTP LOGIN FROM
ftpd.*retrieved
ftpd.*stored
http-gw.*: exit host
http-gw.*: permit host
mail.local
named.*Lame delegation
named.*Response from
named.*answer queries
named.*points to a CNAME
named.*reloading
named.*starting
netacl.*: exit host
netacl.*: permit host
popper.*Unable
popper: -ERR POP server at
popper: -ERR Unknown command: "uidl".
telnetd.*ttloop:  peer died
tn-gw.*: exit host
tn-gw.*: permit host
x-gw.*: exit host
x-gw.*: permit host
xntpd.*Previous time adjustment didn't complete
xntpd.*time reset
root 1
named.*Cleaned
named.*USAGE
named.*NSTATS
named.*XSTATS
ntpd.*ntpd
ntpd.*precision
ntpd.*using
ntpd.*frequency
ntpd.*: synchronisation lost
postfix/pickup.*: uid=
postfix/cleanup.*: message-id
postfix/nqmgr.*: from=
postfix/local.*: to=
postfix/smtp.*250
postfix/smtpd.*: connect from
postfix/smtpd.*: disconnect from
postfix/smtpd.*client
sshd.*: Connection closed by
sshd.*: Accepted rsa
PAM_pwdb.*: (login) session opened
PAM_pwdb.*: (login) session closed
named.*bad referral
named.*Lame server on
popper.*: login
popper.*: Stats:
xinetd.*pop3

.* というのはワイルドカードです．上手に利用して，アタックの早期発見を心がけましょう．

最後に，一時間おきにlogcheckを起動します．cronに書いておきます．

% su
% crontab -e
(この行を追加）
00 * * * * /usr/bin/logcheck.sh