log_analysis je soubor protokolu analýza engine, která vybírá relevantní data z některého z uznávaných zpráv protokolu a vytváří souhrn, který je mnohem čitelnější.
log_analysis je moje řešení těchto problémů. Jde to přes několik různých druhů dřeva (v současné době syslogu, wtmp a sulog), po určité době (výchozí nastavení včera). To pásy se datum a PID, a vyhodí některé údaje. Pak se snaží každou položku podle seznamu perl regulárních výrazů. Každý perl regulární výraz je spojen s názvem kategorie a pravidla pro získávání dat. Když je zápas, pravidlo dat těžby se používá, a je uložen v kategorii.
Je-li položka protokolu není znám, je to podané v rámci zvláštní kategorie pro neznámých. Stejné položky pro danou kategorii jsou tříděny a počítají. Je tu možnost na e-mail výstup, takže stačí spustit z cronu. Můžete také uložit místní kopii výstupu. Dáváte-li přednost PGP-mailem sami výstup, můžete to udělat taky. Celá věc je navržen tak, aby se snadno rozšířit, kompletní s jednoduchým plug-in rozhraní. Výchozí režim je pro podávání zpráv, ale také "skutečné" a režimy "GUI" pro nepřetržitý monitoring, kompletní s akčním podporu. Jo, a můžete editovat vzory v GUI, který pomáhá rychle a snadno psát regulární výrazy.
Zabezpečení
Program musí spustit s oprávněním ke čtení souborů protokolu, aby byly užitečné, což obvykle znamená kořen. To není výchozí SUID root, a já doporučuji ne dělat to SUID, takže stačí spustit jako root (např. Ručně nebo z cronu). Snažil jsem se, aby se zabránilo dočasné soubory všude tam, kde mohu, a v jednom případě, kdy dělám použít dočasný soubor, mohu ujistit, že pro použití funkce POSIX tmpnam místo toho se snaží, aby se moje vlastní temp souboru algoritmus. Výchozí umask je 077. Pokud používáte příkazy akci, není nic, co by vás zastavit používat části protokolu zpráv v nejistých cestách, tak proboha, buďte opatrní.
Místní rozšíření
log_analysis už má spoustu pravidel, ale je pravděpodobné, že máte protokolu položky, které nejsou pokryty. Tak, log_analysis lze snadno rozšířit pomocí lokálního konfiguračního souboru, jak je uvedeno v log_analysis manuálové. K dispozici je i jednoduchý způsob, jak to udělat modulární plug-iny
Vlastnosti :.
- Protokoly obsahují velké množství cizích věcí, které chci být přihlášeni, ale já nechci probírat, když jsem zkontrolovat protokoly (např. rutinní, bez chyb daemon provoz.)
- Protokoly obsahují hodně opakování, který přehlušuje zajímavé položky.
- berouce na vědomí opakování může být obtížné, protože každá položka má obvykle další funkce, aby byl jedinečný, jako je datum, možná PID (tj. Pro syslogu), a možná aplikace specifické informace (např. Sendmail fronty ID).
- Jeden musí pamatovat na jejich přezkoumání. :)
- Jeden musí být root, aby se dívá na polena na nějakou OSS.
- Na většině systémů, při pohledu na protokolech o jeden den může být bolest.
- Pokud se napadnout každého pole se zabývám a napsat samostatný skript pro to všechno, budu ztrácet spoustu času kopírovací úsilí.
- Psaní vzorců je bolest, i když víte, regulární výrazy.
Co je nového v této verzi:.
- Tato verze přidává drobné prvky a drobné opravy chyb
Komentáře nebyl nalezen