log_analysis jest silnik analizy pliku dziennika, który pobiera odpowiednie dane z jednego z uznanych logów i tworzy podsumowanie, które jest o wiele łatwiejsze do odczytania.
log_analysis jest moje rozwiązanie tych problemów. Przechodzi przez kilka różnych rodzajów logów (obecnie syslog, wtmp i sulog), na pewien okres (domyślnie wczoraj). To pozbawia się datę i PID i wyrzuca niektórych wpisów. Następnie próbuje każdy wpis przed listy perl wyrażenia regularne. Każdy Perl wyrażenie regularne jest związane z nazwy kategorii i reguły dla wydobywania danych. Kiedy jest mecz, wydobywających danych reguła jest stosowana, i złożony w ramach kategorii.
Jeśli wpis w dzienniku nie jest znana, to złożony w ramach specjalnej kategorii dla niewiadomych. Identyczne wpisy dla danej kategorii są sortowane i liczone. Istnieje opcja do poczty wyjście, więc można po prostu uruchomić go z crona. Można również zapisać lokalną kopię wyjścia. Jeśli wolisz PGP-maila sobie wyjście, można to zrobić też. Całość ma na celu łatwo rozszerzyć, wraz z łatwym interfejsem plug-in. Domyślnym trybem jest do raportowania, ale także "prawdziwe" i "gui" tryby ciągłego monitorowania, wraz ze wsparciem działań. Aha, i można edytować wzorce w GUI, który pomaga pisać wyrażenia regularne szybko i łatwo.
Bezpieczeństwo
Program musi uruchomić z uprawnieniami do odczytu plików dziennika w celu być przydatne, co zwykle oznacza korzeń. To nie zalega z SUID root, a ja nie zalecają co SUID, więc wystarczy go uruchomić jako root (tj. Ręcznie lub z crona). Starałem się unikać pliki tymczasowe wszędzie, że mogę, aw jednym przypadku, w którym robię użyć pliku tymczasowego, I upewnij się, aby korzystać z funkcji POSIX tmpnam zamiast próbować uzupełnić własny algorytm plików Temp. Domyślne umask jest 077. Jeśli używasz polecenia działania, nie ma nic, aby zatrzymać cię z wykorzystaniem części wiadomości dziennika w niepewnych sposobów, więc na miłość boską, należy być ostrożnym.
Lokalne rozszerzenia
log_analysis ma już wiele przepisów, ale są szanse, że masz wpisy, które nie są już objęte zalogować. Tak, log_analysis można łatwo rozszerzyć za pomocą lokalnego pliku konfiguracyjnego, co zostało udokumentowane w manpage log_analysis. Jest nawet łatwy sposób to zrobić modułowych wtyczek
Opis .
- Dzienniki zawierają wiele obcych rzeczy, które chcę być zalogowany, ale nie chcę, aby przesiać przez kiedy przeglądu dzienników (czyli rutynowe, bezproblemowego działania demona.).
- Dzienniki zawierają dużo powtórzeń, które zagłusza ciekawe wpisy.
- Zauważając powtórzeń może być trudne, ponieważ każdy wpis zwykle ma dodatkowe funkcje, aby to unikalne, takie jak data, może z PID (tj. Dla syslog), a może Informacje specyficzne dla aplikacji (np. Sendmail identyfikatorów kolejek.)
- Trzeba pamiętać, aby je przejrzeć. :)
- Trzeba być root wygląda na jakiegoś dzienników systemów operacyjnych.
- W większości systemów, patrząc na logi na jeden dzień może być ból.
- Jeśli zaatakować każde pole zajmę i napisać osobny skrypt, aby to wszystko zrobić, będę tracić czasu powielania wysiłków.
- Pisanie wzorów jest ból, nawet jeśli wiesz, wyrażeń regularnych.
Co nowego w tym wydaniu:.
- W tej wersji dodano drobne funkcje i drobne poprawki błędów,
Komentarze nie znaleziono