先日Postfixの設定を行いましたが、logwatchの結果をメールで読むのが目的だった。
logwatchをインストールしましたが、デフォルトで/etc/logwatch配下はコピーがありません。/usr/share/logwatchからいろいろとコピーが必要でした。default.confディレクトリをまるごと/etc/logwatchへコピーし、confへリネーム。あとscriptsもコピーしておく。conf/logwatch.confを設定。これはいろいろな解説サイトにあるので難なくいけると思います。うちは/var/log/にすべてのログを集めるように設定してあるのでLogDirを/var/logにし、MailToに自分のメールアドレス、PrintをNoにしてメール送信するように指定しました。あとは好みに応じて設定すればいいかと。logwatch.plを実行して結果がメールされれば問題ありません。うちはPrintをYesにしてstdoutに出てしまっていてメール送信されずに迷いましたけどコメントを読み違えてた。
あとはあまり詳細過ぎるレポートは重要なメッセージを見落とす可能性があるので制限するといいかもね。外部に触れるApacheやftp、mail、auth辺りを重点として他をカットという手もありそうかな。まあ、好き好きということで。