log_analysis egy log file elemzés motor, amely kinyeri a vonatkozó adatokat az elismert log üzeneteket, és létrehoz egy összefoglaló, amely sokkal könnyebben olvasható.
log_analysis az én megoldást ezekre a problémákra. Ez megy keresztül több, különböző típusú naplók (jelenleg syslog, wtmp, és sulog), mint bizonyos ideig (alapértelmezetten tegnap). Ez kiszedegeti a dátumot és PID, és eldobja bizonyos bejegyzéseket. Ezek után megpróbálja minden bejegyzést ellen listáját Perl reguláris kifejezések. Minden perl reguláris kifejezés társul a kategória nevét, és a szabály kitermelése adatokat. Ha van egy meccs, az adatok kitermelésével szabályt kell alkalmazni, és benyújtani a kategóriában.
Ha egy naplóbejegyzés ismeretlen, ez iktatott egy külön kategóriát is ismeretlenek. Azonos bejegyzéseket egy adott kategóriában válogatni és számítani. Van egy lehetőség, hogy küldje a kimenetre, így elég annyi, hogy ki a cron. Azt is menteni egy helyi másolatot a kimenetet. Ha inkább a PGP-mail magát a kimenetet, akkor is ezt csinálom. Az egész dolog úgy tervezték, hogy egyszerűen bővíthető, kiegészítve egy könnyen plug-in interfész. Az alapértelmezett mód a jelentéshez, de ez is "igazi" és a "gui" módok folyamatos monitorozás, a teljes cselekvési támogatást. Ja, és lehet szerkeszteni minták egy GUI, amely segít levelet reguláris kifejezések gyorsan és egyszerűen.
Biztonság
A program futtatásához szükséges engedélyekkel hogy olvassa el a log fájlokat, hogy hasznos lehet, ami általában azt jelenti gyökere. Ez nem az alapértelmezett a SUID root, azt ajánlom, nem így SUID, így csak futtatni root-ként (azaz. Manuálisan, vagy ki cron). Megpróbáltam elkerülni temp fájlok mindenütt, hogy tudok, és az egyik esetben, ha tudom használni a temp fájlt, teszek róla, hogy használja a POSIX tmpnam funkció helyett próbálják ki, hogy a saját temp fájlt algoritmust. A default umask 077. Ha cselekvési parancsokat, semmi sem akadályozza meg, hogy a részei naplóüzenetben bizonytalan módon, így az isten szerelmére, légy óvatos.
Helyi kiterjesztések
log_analysis már rengeteg szabályokat, de jó esélye van, hogy van jelentkezzen a pályázatok, amelyek nem vonatkozik. Szóval, log_analysis könnyen kiterjeszthető keresztül a helyi konfigurációs fájl, amit dokumentálnak a log_analysis manpage. Van még egy egyszerű módja, hogy moduláris plug-inek.
Tulajdonságok :
- A napló tartalmaz sok extra küldetést, amit szeretnék be kell jelentkeznie, de nem akarom, hogy szitál, amikor átnéztem naplók (pl. a rutin, a hibamentes működés daemon.)
- Naplók amelyek sok ismétlés, amely elnyomja az érdekes bejegyzéseket.
- Tudomásul véve az ismétlés is trükkös, mert egyes bejegyzések rendszerint extra funkciók teszik egyedivé, mint például a dátumot, talán egy PID (azaz. A syslog), és talán az alkalmazás-specifikus információk (pl. Sendmail queue azonosítókat.)
- Egy kell emlékezni, hogy vizsgálja felül azokat. :)
- Egy kell root nézi naplók valamilyen operációs.
- A legtöbb rendszeren, nézi a naplók csak egy nap lehet a fájdalom.
- Ha támadni minden egyes doboz foglalkozom, és írjon külön script minderre, én hulladék sok időt megkettőzése erőfeszítést.
- Írás minták a fájdalom még ha ismeri a reguláris kifejezések.
Mi az új ebben a kiadásban:
- Ez a verzió hozzáteszi kisebb funkciók és kisebb hibajavításokat.
Hozzászólás nem található