log_analysis er en loggfil analyse motor som trekker ut relevante data for noen av de anerkjente loggmeldinger og produserer et sammendrag som er mye lettere å lese.
log_analysis er min løsning på disse problemene. Det går gjennom flere forskjellige typer logger (for tiden syslog, wtmp, og sulog), over en viss periode (standard til i går). Det strimler ut dato og PID, og kaster bort visse oppføringer. Så det prøver hver oppføring mot en liste over perl regulære uttrykk. Hver perl vanlige uttrykket er assosiert med et kategorinavn og en regel for å trekke ut data. Når det er en kamp, er data-utpakking regelen anvendt, og arkivert under kategorien.
Hvis en loggoppføring er ukjent, det er arkivert under en egen kategori for ukjente. Identiske oppføringer for en gitt kategori er sortert og telles. Det er et alternativ å sende output, så du kan bare kjøre den ut av cron. Du kan også lagre en lokal kopi av produksjonen. Hvis du foretrekker å PGP-post selv utgangen, du kan gjøre dette, også. Det hele er designet for å være enkelt utvides, komplett med en enkel plug-in grensesnitt. Standardmodusen er for rapportering, men det også "ekte" og "gui" modus for kontinuerlig overvåking, komplett med handling støtte. Oh, og du kan redigere mønstre i et GUI som hjelper skrive regulære uttrykk raskt og enkelt.
Sikkerhet
Programmet må kjøres med tillatelser til å lese dine loggfiler for å være nyttig, noe som vanligvis betyr rot. Det trenger ikke standard til SUID rot, og jeg anbefaler ikke å gjøre det SUID, så bare kjøre det som root (ie. Manuelt eller ut av cron). Jeg har prøvd å unngå midlertidige filer overalt at jeg kan, og i ett tilfelle hvor jeg bruker en temp fil, jeg sørge for å bruke POSIX tmpnam funksjonen i stedet for å prøve å gjøre opp min egen temp fil algoritme. Standard umask er 077. Hvis du bruker handlings kommandoer, er det ingenting å stoppe deg fra å bruke deler av loggmeldingen på usikre veier, så for godhet skyld, vær forsiktig.
Lokale utvidelser
log_analysis har allerede massevis av regler, men sjansene er at du har log oppføringer som ikke allerede er dekket. Så kan log_analysis enkelt utvides via en lokal config-fil, som dokumentert i log_analysis manpage. Det finnes også en enkel måte å gjøre modulære plug-ins
Egenskaper .
- Logger inneholder mye overflødig ting som jeg ønsker være logget, men at jeg ikke ønsker å sile gjennom når jeg vurdere logger (ie. rutine, feilfritt daemon drift.)
- Logger inneholder mye repetisjon, som overdøver de interessante oppføringer.
- Opplyse repetisjon kan være vanskelig fordi hver oppføring har vanligvis ekstra funksjoner som gjør den unik, for eksempel en dato, kanskje en PID (ie. For syslog), og kanskje applikasjonsspesifikk informasjon (ie. Sendmail kø IDer.)
- Man må huske å vurdere dem. :)
- Man trenger å være roten til utseende på logger for noen operativsystemer.
- På de fleste systemer, ser på loggene for bare én dag kan være smertefullt.
- Hvis jeg angripe hver boks jeg håndtere og skrive et eget script for å gjøre alt dette, vil jeg kaste bort en masse tid duplisere innsats.
- Skrive mønstre er en smerte selv om du vet regulære uttrykk.
Hva er nytt i denne utgaven:.
- Denne versjonen legger mindre funksjoner og mindre feilrettinger
Kommentarer ikke funnet