log_analysis es un motor de análisis de archivo de registro que extrae los datos relevantes para cualquiera de los mensajes de registro reconocidos y produce un resumen que es mucho más fácil de leer.
log_analysis es mi solución a estos problemas. Pasa a través de diferentes tipos de registros (actualmente syslog, wtmp, y sulog), sobre un cierto período (por defecto ayer). Se excluye los de la fecha y el PID, y tira a la basura algunas entradas. Entonces se trata cada entrada con una lista de expresiones regulares de Perl. Cada expresión regular de Perl se asocia con un nombre de categoría y una regla para la extracción de datos. Cuando hay un partido, se aplica la regla de extracción de datos, y archivada en la categoría.
Si una entrada de registro no se conoce, se presenta bajo una categoría especial para las incógnitas. Entradas idénticas para una determinada categoría se clasifican y se cuentan. Hay una opción para enviar por correo la salida, por lo que sólo se puede ejecutar fuera de cron. También puede guardar una copia local de la salida. Si prefiere PGP electrónico a ti mismo la salida, usted puede hacer esto, también. Todo está diseñado para ser fácilmente extendido, con una interfaz plug-in fácil. El modo por defecto es para informar, pero también y modos "reales", "gui" para el monitoreo continuo, completo con soporte acción. Ah, y se puede editar patrones en una interfaz gráfica de usuario que ayuda a escribir expresiones regulares rápida y fácilmente.
Seguridad
El programa necesita para ejecutarse con permisos para leer los archivos de registro con el fin de ser útil, lo que normalmente significa raíz. No defecto a raíz SUID, y yo no recomendaría hacer lo SUID, por lo que sólo ejecutarlo como root (es decir. Manualmente o fuera de cron). He tratado de evitar los archivos temporales de todo el mundo que puedo, y en el único caso en el que yo uso un archivo temporal, me aseguro de usar la función tmpnam POSIX en lugar de tratar de hacer mi propio algoritmo archivo temporal. El umask por defecto es 077. Si utiliza comandos de acción, no hay nada que le impida el uso de partes del mensaje de registro de forma insegura, así que para "el amor de Dios, tenga cuidado.
Extensiones locales
log_analysis ya tiene un montón de reglas, pero lo más probable es que usted tiene las entradas de registro que no estén cubiertos. Así, log_analysis fácilmente puede extenderse a través de un archivo de configuración local, como se documenta en la página de manual log_analysis. Incluso hay una manera fácil de hacer complementos modulares
Características :.
- Los registros contienen un montón de cosas extrañas que quiero que estar conectado, pero que yo no quiero que tamizar a través de cuando pienso en los registros (es decir, que funcione como demonio. rutina libre de errores.)
- Registros contiene mucha repetición, que ahoga las entradas interesantes.
- Observando la repetición puede ser complicado porque cada entrada general tiene características adicionales que lo hacen único, como una fecha, tal vez un PID (es decir. Para syslog), y tal vez específico de la aplicación de la información (es decir. ID de cola de sendmail.)
- Uno tiene que recordar a revisarlos. :)
- Uno tiene que ser root para miradas en los registros de algunos sistemas operativos.
- En la mayoría de los sistemas, que buscan en los registros para un solo día puede ser un dolor.
- Si ataco cada caja me ocupo y escribo un guión aparte de hacer todo esto, voy a perder mucho esfuerzo duplicar el tiempo.
- Escribir patrones es un dolor incluso si usted sabe expresiones regulares.
¿Cuál es nuevo en esta versión:.
- Esta versión añade características menores y correcciones de errores menores
Comentarios que no se encuentran