log_analysis ist ein Logfile-Analyse-Engine, die relevanten Daten für jede anerkannte Protokollmeldungen extrahiert und erzeugt eine Zusammenfassung, die viel einfacher zu lesen ist.
log_analysis ist meine Lösung für diese Probleme. Es geht durch verschiedene Arten von Protokollen (derzeit syslog, wtmp und sulog), über einen gewissen Zeitraum (Standard: gestern). Er streift sich das Datum und die PID und wirft bestimmte Einträge. Dann versucht er, jeden Eintrag mit einer Liste von Perl reguläre Ausdrücke. Jedes Perl regular expression ist mit einem Kategorienamen und in der Regel zum Extrahieren von Daten verbunden. Wenn eine Übereinstimmung vorliegt, werden die Daten-Extrahierregel angewendet, und unter der Kategorie abgelegt.
Wenn ein Protokolleintrag ist nicht bekannt, es ist unter einer speziellen Kategorie für Unbekannten eingereicht. Identische Einträge für eine bestimmte Kategorie sortiert und gezählt. Es gibt eine Option, um die Ausgabe zu verschicken, so können Sie einfach laufen sie aus cron. Sie können auch eine lokale Kopie der Ausgabe. Wenn Sie es vorziehen PGP-Mail selbst die Ausgabe, können Sie dies auch tun. Das Ganze ist so konzipiert, leicht erweitert werden, komplett mit einem einfachen Plugin-Schnittstelle. Der Standardmodus ist für die Berichterstattung, sondern auch "real" und "gui" Modi für die kontinuierliche Überwachung, komplett mit Aktion zu unterstützen. Oh, und Sie können Muster in einer GUI, die schreiben, reguläre Ausdrücke schnell und einfach hilft bearbeiten.
Sicherheit
Das Programm muss mit Berechtigungen ausführen, um Ihre Log-Dateien zu lesen, um nützlich zu sein, was normalerweise bedeutet Wurzel. Sie gilt nicht für SUID root Verzug, und ich empfehle nicht damit SUID, so führen Sie es einfach als root (dh. Von Hand oder von cron). Ich habe versucht, temporäre Dateien überall, wo ich kann, zu vermeiden, und in dem einen Fall, wo ich tun, verwenden Sie eine temporäre Datei, achte ich darauf, um die POSIX tmpnam Funktion, anstatt zu versuchen, um mein eigenes Temp-Datei-Algorithmus verwenden. Die Standard-umask ist 077. Wenn Sie Action-Befehle zur Verfügung, es gibt nichts, um Sie von der Verwendung Teile der Protokollmeldung in unsicheren Wege zu stoppen, so um Gottes willen, seien Sie vorsichtig.
Lokale Erweiterungen
log_analysis bereits viele Regeln, aber die Chancen sind, dass Sie die Protokolleinträge, die noch nicht abgedeckt sind. So können log_analysis einfach über eine lokale Konfigurationsdatei erweitert werden, wie im log_analysis manpage dokumentiert. Es gibt sogar eine einfache Möglichkeit, modulare Plug-Ins zu tun
Eigenschaften .
- Protokolle enthalten viele fremden Sachen, die ich will eingeloggt sein, aber das will ich nicht zu sichten, wenn ich überprüfen Protokolle (dh. Routine, fehlerfreie Bedienung Daemon.)
- Protokolle enthalten viele Wiederholungen, die die interessanten Einträge übertönt.
- Anbetracht dessen Wiederholung kann tückisch sein, denn jeder Eintrag in der Regel zusätzliche Features, die es einzigartig zu machen, wie ein Tag, vielleicht einer PID (dh. Für syslog), und vielleicht anwendungsspezifische Informationen (dh. Sendmail Warteschlange IDs.)
- Man muss daran denken, sie zu überprüfen. :)
- Man muss root zu sein Aussehen auf Protokolle für einige Betriebssysteme.
- Auf den meisten Systemen, Blick auf die Logs für einen Tag kann ein Schmerz.
- Wenn ich angreifen jedes Feld ich mit und schreiben Sie eine separates Skript, um all dies zu tun, werde ich viel Zeit Doppelarbeit zu verschwenden.
- Schreibmuster ist ein Schmerz, auch wenn Sie wissen, reguläre Ausdrücke.
Was ist neu in dieser Pressemitteilung:.
- Diese Version bringt kleinere Features und kleinere Bugfixes
Kommentare nicht gefunden