log_analysis est un moteur d'analyse de fichier journal qui extrait des données pertinentes pour l'un des messages du journal reconnus et produit un résumé qui est beaucoup plus facile à lire.
log_analysis est ma solution à ces problèmes. Elle passe par plusieurs types de journaux (actuellement de syslog, wtmp et sulog), sur une certaine période (par défaut) hier. Il dépouille la date et PID, et jette certaines entrées. Puis il essaie chaque entrée contre une liste d'expressions régulières Perl. Chaque expression régulière Perl est associé à un nom de catégorie et une règle pour extraire des données. Quand il ya un match, la règle de données d'extraction est appliquée, et classé dans la catégorie.
Si une entrée de journal est inconnue, il est classé dans une catégorie spéciale pour inconnues. Les entrées identiques pour une catégorie donnée sont triés et comptés. Il ya une option pour envoyer la sortie, de sorte que vous pouvez juste lancer hors de cron. Vous pouvez également enregistrer une copie locale de la sortie. Si vous préférez PGP courriel vous la sortie, vous pouvez le faire aussi. Le tout est conçu pour être facilement étendu, complet avec une interface de plug-in facile. Le mode par défaut est pour les rapports, mais il a aussi «réels» et les modes «GUI» pour la surveillance continue, complets avec le soutien de l'action. Oh, et vous pouvez éditer les patterns dans une interface graphique qui permet d'écrire des expressions régulières rapidement et facilement.
Sécurité
Le programme doit se exécuter avec des autorisations de lire vos fichiers journaux pour être utile, ce qui signifie généralement racine. Il ne fait pas défaut à SUID root, et je recommande ne pas en faire SUID, donc il suffit d'exécuter en tant que root (ie. Manuellement ou sur cron). Je ai essayé d'éviter les fichiers temporaires partout où je peux, et dans le seul cas où je utilise un fichier temporaire, je fais en sorte d'utiliser la fonction POSIX tmpnam lieu d'essayer de faire mon propre algorithme de fichier temporaire. Le umask par défaut est 077. Si vous utilisez des commandes d'action, il n'y a rien pour vous empêcher d'utiliser certaines parties du message de journal de façon insécurité, donc pour l'amour de Dieu, soyez prudent.
Extensions locales
log_analysis a déjà beaucoup de règles, mais les chances sont que vous avez entrées qui ne sont pas déjà couverts connecter. Donc, log_analysis peut facilement être étendue via un fichier de configuration locale, tel que documenté dans la page de log_analysis. Il ya même un moyen facile de faire des plug-ins modulaires
Caractéristiques :.
- Les journaux contiennent beaucoup de choses étrangères que je veux être connecté, mais que je ne veux pas passer au crible en relisant les journaux (ce est à dire, le fonctionnement du démon. routine sans erreur.)
- Les journaux contiennent beaucoup de répétitions, qui noie les entrées intéressantes.
- Notant la répétition peut être difficile parce que chaque entrée a généralement des fonctionnalités supplémentaires pour le rendre unique, comme une date, peut-être un PID (ie. Pour syslog), et peut-être spécifique à l'application de l'information (ie. ID de file d'attente sendmail.)
- Il faut se rappeler de les examiner. :)
- Un besoin d'être root pour des regards à journaux pour certains systèmes d'exploitation.
- Sur la plupart des systèmes, en regardant les journaux pour une seule journée peut être une douleur.
- Si je attaque chaque boîte je me occupe et je écris un script séparé pour faire tout cela, je perds beaucoup de temps duplication des efforts.
- Rédaction modèles est une douleur même si vous connaissez des expressions régulières.
Quoi de neuf dans cette version:.
- Cette version ajoute des fonctionnalités mineures et corrections mineures
Commentaires non trouvées