log_analysis является анализ двигателя файл журнала, который извлекает соответствующие данные для любого из признанных сообщений журнала и производит резюме, гораздо легче читать.
log_analysis мое решение этих проблем. Он проходит через несколько различных видов журналов (в настоящее время системный журнал, wtmp и sulog), в течение некоторого периода (по умолчанию) вчера. Это удаляет дату и PID, и выбрасывает определенные записи. Тогда он пытается каждую запись по списку Perl регулярных выражений. Каждый Perl регулярное выражение связано с именем категории и правила для извлечения данных. Когда есть матч, правило извлечения данных применяется, и подал в категории.
Если запись журнала неизвестно, это подается под особую категорию неизвестных. Идентичные данные для данной категории сортируются и подсчитывали. Там же вариант по почте выход, так что вы можете просто запустить его из хрон. Вы также можете сохранить локальную копию вывода. Если вы предпочитаете PGP-почта себе выход, вы можете сделать это, тоже. Все это предназначено для быть легко расширена, в комплекте с легким плагина в интерфейсе. Режим по умолчанию для отчетности, но также "Реал" и "GUI" режимы для непрерывного мониторинга, в комплекте с поддержкой действий. Ох, и вы можете редактировать шаблоны в графический интерфейс, который помогает быстро и легко писать регулярные выражения.
Безопасность
Программа должна работать с разрешениями читать ваши файлы журналов для того, чтобы быть полезным, это обычно означает, корень. Это не по умолчанию SUID корень, и я рекомендую не делает его SUID, так что просто запустите его как корень (т.е.. Вручную или из крон). Я старался избегать временные файлы везде, что я могу, и в одном случае, когда я делаю использовать временный файл, я не забудьте использовать функцию POSIX tmpnam вместо того, чтобы сделать свой собственный алгоритм временного файла. Umask по умолчанию 077. Если вы используете команды действий, нет ничего, чтобы остановить вас от использования части сообщения журнала в небезопасных способов, так ради бога, будьте осторожны.
Местные расширения
log_analysis уже много правил, но есть вероятность, что у вас есть записи в журналах, которые не охвачены. Так, log_analysis легко может быть расширен с помощью локальной конфигурационном файле, как описано в log_analysis страницы руководства. Там даже простой способ сделать модульные плагины
Особенности :.
- Журналы содержат много посторонних вещей, которые я хочу чтобы войти, но я не хочу, чтобы просеять через, когда я рассматриваю журналы (т.е.. рутина, безошибочную работу демона.)
- Журналы содержат много повторений, который заглушает интересные записи.
- отмечая повторение может быть сложно, потому что каждый элемент, как правило, имеет дополнительные функции, чтобы сделать его уникальным, такие как дата, может быть, PID (то есть. для Syslog), и, возможно, применение конкретной информации (т.е.. Sendmail идентификаторы очереди.)
- Нужно помнить, чтобы рассмотреть их. :)
- Нужно быть корень смотрит на журналы для какой-то ОС.
- На большинстве систем, глядя на журналы для всего за один день может быть боль.
- Если я атаковать каждую коробку я имею дело с и написать отдельный сценарий, чтобы сделать все это, я тратить много времени на дублирование усилий.
- Написание шаблонов боль, даже если вы знаете, регулярные выражения.
Что нового В этом выпуске:.
- Эта версия добавляет незначительные особенности и незначительные исправления
Комментарии не найдены