log_analysis є механізм аналізу лог-файл, який витягує відповідні дані для будь-якого з визнаних повідомлень журналу і виробляє огляд, який набагато легше читати.
log_analysis моє рішення цих проблем. Він проходить через кілька різних видів журналів (в даний час журнал подій, wtmp і sulog), протягом деякого періоду (за замовчуванням вчора). Це видаляє дату і PID, і викидає деякі записи. Тоді він намагається кожен запис за списком Perl регулярних виразів. Кожен Perl регулярний вираз пов'язане з ім'ям категорії і правила для вилучення даних. Коли є матч, правило дані з видобутку наносять, і подав у категорії.
Якщо запис у журналі невідомо, що це подається під особливу категорію невідомими. Ідентичні записи для даної категорії сортуються і підраховували. Там це варіант поштою вихід, так що ви можете просто запустити його з хрон. Ви також можете зберегти локальну копію висновку. Якщо ви віддаєте перевагу PGP-пошта собі вихід, ви можете зробити це, теж. Все це призначено, щоб бути легко розширена, в комплекті з легким плагіна інтерфейс. За замовчуванням використовується режим для звітності, але також і "Реал" і "GUI" режими для безперервного моніторингу, в комплекті з підтримкою дій. Ох, і ви можете редагувати моделі в графічний інтерфейс, який допомагає швидко і легко писати регулярні вирази.
Безпека
Програма повинна працювати з дозволами на читання файлів журналів для того, щоб бути корисним, це зазвичай означає, корінь. Це не за замовчуванням SUID корінь, і я не рекомендую робити це SUID, так що просто запустити його в якості кореня (т.е .. Вручну або з крон). Я намагався уникнути тимчасових файлів скрізь, що я можу, а в одному випадку, коли я роблю використовувати тимчасовий файл, я хочу, щоб використовувати функцію POSIX tmpnam замість того, щоб зробити мій власний алгоритм тимчасового файлу. Umask замовчуванням 077. Якщо ви використовуєте команди дій, немає нічого, щоб зупинити вас від використання частини повідомлення журналу в небезпечних способів, так заради бога, будьте обережні.
Місцеві розширення
log_analysis вже багато правил, але є ймовірність, що у вас є записи в журналах, які ще не охоплені. Таким чином, log_analysis легко може бути розширена за допомогою локального файлу конфігурації, як описано в log_analysis сторінки керівництва. Там навіть простий спосіб зробити модульні плагіни
Особливості :.
- Журнали містять багато сторонніх речей, які я хочу потрібно ввійти, але я не хочу, щоб просіяти через, коли я розглядаю журнали (т.е .. рутиною, безпомилкову роботу демона).
- Журнали містять багато повторень, який заглушає цікаві записи.
- відзначаючи повторення може бути складно, тому що кожен елемент, як правило, має додаткові функції, щоб зробити його унікальним, такі як дата, можливо, PID (т.е .. Для Syslog), і, можливо, застосування конкретної інформації (т.е .. Sendmail ідентифікатори черги).
- Потрібно пам'ятати, щоб ознайомитися з ними. :)
- Потрібно бути корінь дивиться на журнали для якоїсь ОС.
- На більшості систем, дивлячись на журнали для всього за один день може бути біль.
- Якщо я атакувати кожну коробку я маю справу з і писати окремий сценарій, щоб зробити все це, я витрачати багато часу дублюючі зусиль.
- Написання картини є біль, навіть якщо ви знаєте, регулярні вирази.
Що нового У цьому випуску :.
- Ця версія додає незначні особливості та незначні виправлення
Коментар не знайдено