logcheck是一个软件包，旨在自动运行和检查系统日志文件以获取安全违规和异常活动，它利用一个名为logtail的程序，这些程序记得从日志文件中读取的最后一个位置。

它可以通过几种方式使用，从分析Syslog中的安全性或者不寻常的活动，以监视Apache日志文件，了解由PHP脚本或者其他问题引起的错误。
默认情况下，它将每小时检查日志文件，如果检测到任何问题，它将在日志文件中向管理员发送电子邮件。

安装logcheck.

安装此实用程序很简单，因为它包含在Debian/Ubuntu Linux发行版上的稳定存储库中，我们需要做的就是使用apt-get命令安装它：

# apt-get install logcheck

这将自动安装工具和所有依赖项，或者我们可以从SourceForge下载Logcheck-1.1.2.tar.gz版本。

我们必须要做的第一件事是更改本实用程序将邮件发送到/etc/logcheck/logcheck.conf的电子邮件地址使用我们喜欢的文本编辑器将ReportLevel修改为我们希望的级别(工作站不那么详细，服务器是默认值，偏执狂非常详细)，并将其发送到电子邮件地址，如下所示：

# vim /etc/logcheck/logcheck.conf

配置

配置文件可以在/etc/logcheck目录中找到，在配置邮件和报表级别后，我们应该采取的下一步是要查看/etc/logcheck/logcheck.files，此文件包含日志文件列表被监视，每个日志文件应该在这样的单独行上：

现在该实用程序将每小时检查这些日志文件，如果出现问题，它将通过电子邮件发送报告，如下所示：

logcheck通过使用/etc/logcheck/ignore.d.server(或者我们选择的任何其他报表级别)来检查日志文件的文件，如果找到与忽略文件中的规则不匹配的行，则会将它们包含在电子邮件报告中作为潜在问题。
它将在日志文件中向内核问题报告日志文件中的任何不寻常的内容，以使验证尝试失败到内核问题。