Журнали моніторів Linux та сповіщення електронною поштою?


13

У мене є сервер із несправною кнопкою живлення, яка любить перезавантажуватись. Зазвичай є попереджувальні знаки, наприклад, що файл журналу швидкого входу в / var / log починає спам сміття близько 10 годин.

Чи є простий спосіб я можу щось контролювати журнал швидкого доступу та надіслати мені електронну пошту, коли він має нові дії?

Я б не вважав себе надзвичайно просунутим, тому будь-які "посібники", які ви можете мати для здійснення чогось подібного, були б дуже корисними та високо оцінені. Дякую!


Чи зміна кнопки живлення та / або сервера є правдоподібним рішенням?
Meetai.com

Відповіді:


19

Ви можете використовувати щось на зразок LogWatch . Або навіть такий простий сценарій, як цей (це псевдо-код, вам потрібно буде змінити його для вашого оточення):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Покладіть це в cron, щоб запускати щогодини або близько того, і вам слід отримати електронний лист, який повідомляє вам про те, коли він стає більш бурхливим.


1
logwatch працює для мене чудово.
J.Zimmerman

3
Проблема цього сценарію полягає в тому, що він надсилатиме ту ж помилку знову і знову, поки файл не повернеться
chmeee

На Ubuntu / Debian можна встановити
логвард

8

Ви можете використовувати OSSEC HIDS для встановлення правил для файлів журналів і одночасно отримувати інформацію про безпеку від свого хоста.

Налаштувати його дуже просто:

  • Завантажте джерело
  • Від'єднайте його та запустіть ./install.sh
  • Виберіть локальну установку
  • Відповідь на запитання (електронна пошта, чеки тощо)
  • Відредагуйте, /var/ossec/rules/local_rules.xmlяк зазначено нижче
  • Запустіть OSSEC з /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

Правила можуть бути дуже гнучкими і складними. Дивіться цю таблицю, щоб отримати уявлення про параметри, що беруть участь у правилі.

Якщо ви не хочете або не потребуєте інших функцій безпеки, ви можете зробити їх деактивацією, видаливши includeрядки під rulesтегом.


5

Я б запропонував Nagios це те, що ми працюємо там, де я працюю для моніторингу декількох машин, є мережевими. Це дуже добре, що я не використовував його спеціально для того, що ви робите, але ви, безумовно, можете налаштувати його на електронну пошту, коли виникають помилки.

Тут є посібник по його встановленню на Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ і тут для встановлення на http: //www.debianhelp. co.uk/nagiosinstall.htm .


3

І ви можете надіслати це приблизно таким чином:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" user@domain.com
rm -f $EMAILMGS

3

Я використовую Zabbix з інструментами IPMI для перезавантаження несправних серверів на вимогу. Крім того, я думаю, що OSSEC також є хорошим вибором, але вам дійсно потрібно поекспериментувати і налагодити, перш ніж поставити його в додаток ...


3

Завантажте та встановіть Splunk на сервер. Він схожий на logwatch, але надає вам пошукову систему для ваших журналів.

Ви можете налаштувати його для індексації ваших журналів, потім можете шукати в журналах і знаходити шаблони, знаходити помилки, а потім переглядати, що інші журнали роблять у певний момент відмови.

Він також може бути налаштований для надсилання сповіщень або виконання сценаріїв з певними порогами. Отже, якщо певна помилка почне спамуватися до вашого журналу, ви можете скопіювати її, щоб автоматично перезапустити службу порушень.

Ми використовуємо спленк у нашому кластерному сервері, і це було рятівним рятом!


+1 для Splunk це виглядає досить добре, я намагаюся пізніше сьогодні ввечері.
Марк Девідсон

1

У попереднього роботодавця ми використовували logsurfer + для моніторингу журналів у режимі реального часу та надсилання сповіщень електронною поштою. Це вимагає багато часу та конфігурації, щоб налаштувати помилкові позитиви, але у нас був набір правил, який працював досить добре для різноманітних знахідок та оповіщень, набагато більш цінних, ніж Nagios був для подібних цілей.

На жаль, я більше не маю доступу до конфігураційного файлу, щоб надати зразки того, що ми фільтрували, але на сайті слід надати більше інформації та прикладів.


Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.