当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 简单高效:用Swatch做Linux日志分析

Unix/Linux
linux 操作技巧收集_
linux下如何读取使用iso 镜像文件的方法
Linux平台下文件的压缩与解压参数说明
Linux下常用压缩格式的压缩与解压方法
Linux JDK,TOMCAT安装及环境设置
Linux sleep命令使用参数
Linux cat命令参数
nfs 配置的简单例子
linux kill 关闭进程命令
linux ultrasphinx Anonymous modules have no name to be referenced by
Linux oracle 9i图文安装方法一
Linux oracle 9i图文安装教程二
Linux oracle 9i图文安装教程三
Linux oracle 9i图文安装教程四
Linux oracle 9i图文安装教程五
Linux oracle 9i图文安装教程六 完结篇
linux AS3 oracle9i 安装指南
Linux 下 (RedHat 9.0) JDK,Tomcat,MySQL的安装
RedHat 9.0下Apache+PHP+MySQL服务器安装配置
Linux 下用 Python 连接 MSSql Server 2008

Unix/Linux 中的 简单高效:用Swatch做Linux日志分析


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 74 ::
收藏到网摘: n/a

 

  日志文件是我们发现系统问题的重要参考信息. 大部分的系统服务出现问题时都会给syslogd(系统日志守护进程)发送消息. 然后用户发觉并根据错误提示信息采取行动. 然而对于1000行以上的日志文件, 我们必须使用日志检查工具节省时间和避免漏掉重要信息.

  Swatch从字面上可以简单理解为Watcher(守护者). 其它的日志分析软件定期地扫描日志文件, 向你报告系统已经发生的问题或者状况. Swatch程序不仅能够做这些, 而且它能够像Syslogd守护程序那样主动的扫描日志文件并对特定的日志消息采取修复行动.


  一. 准备

  1. 下载和解压缩最新的Swatch软件包.建议从Swatch的官方网站获得可靠的Swatch软件包.

  下载网址: http://sourceforge.net/projects/swatch/

  1) 创建Swatch软件包存放的目录.

  #mkdir -p /usr/local/src/log

  2) 解压缩源代码包, 在log目录下会生成一个新的目录apache_1.3.33

  #tar zpxf swatch-3.1.1.tar.gz

  二. 安装

  #cd swatch-3.1.1
  #make
  #make test
  #make install
  #make realclean

  Swatch程序安装成功后, Perl模块将会用于Swatch程序的运行.

  三. 配置

  Swatch程序使用正向表达式(Regular Expressions)来发现感兴趣的目标行. 一旦Swatch发现某一行匹配预设定的模式, 它会立即采取行动, 比如说屏幕打印, 发送电子邮件, 或者采取用户预先设定的行动.

  watchfor /[dD]enied│/DEN.*ED/
  echo bold
  bell 3
  mail
  exec "/etc/call_pager 5551234 08"

  上面的脚本是Swatch配置文件一个部分的例子. 首先Swatch在指定的日志文件中寻找包含设定单词"denied, Denied, 或者其它以DEN开始或者以ED结束的单词的行. 一旦搜索到某行包含三个搜索单词中的任何一个. Swatch程序立即向终端显示粗体行和响铃三下, 然后发送电子邮件给运行swatch程序的用户(通常是
  root用户)警报所在行和执行/etc/call_paper程序, 忽略sendmail, fax, unimportant stuff. 在这个例子当中, 搜索字符串sendmail, fax和unimportant stuff将被忽略. 甚至他们符合预定搜索字符串中的一个.


  四. 使用

  使用Swatch非常的简单, 如通常使用Swatch检查日志, 运行:
  swatch --config-file=/home/zhaoke/swatch.conf
  --examine=/var/log/messages

  上面的例子中配置文件所在的系统绝对路径是/home/zhaoke/swatch.conf, 需要检查的日志文件是/var/log/messages.

  使用swatch检查不段增加的日志文件:
  swatch --config-file=/home/zhaoke/swatch.conf
  --tail-file=/var/log/messages


  五. 更多

  关于作者: 赵珂, 操作系统研究和安全工程师.
  zhaoke.net是作者的个人网站. 欢迎技术交流以及链接交换.

  原文出处: http://zhaoke.net/articles/general/2005-02-04.shtml

  版权声明: 引用或转载, 请注明作者与出处. 并请保留本文的连接.

  如有问题或错误请提交到:
  http://zhaoke.net/os/forum.php?do=viewtopic&cat=2&topic=5