当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 简单高效:用Swatch做Linux日志分析

Unix/Linux
linux查看内存的大小
在linux下写的代码,用的是utf-8,结果拿到XP下运行的时候,所有的中文都成乱码
linux su和sudo命令的区别
linux cron 下的定时执行工具使用技巧
linux 查找进程及终止进程操作的相关命令
redhat linux 安装 gcc编译器
Linux Mplayer播放各种格式的电影
一起回顾一下linux常用命令
Linux 网站项目发布要做哪些配置
linux SSH配合SecureCRT的密匙完美使用方法
GD 编译出错解决方法
Facebook Open Platform编译FAQ
Linux 系统硬盘 优化
linux 挂载详解
linux crontab定时命令
Linux 系统中确保访问三级域名畅通的方法
Linux 特权帐号VS普通帐号
确保Linux系统安全的前提条件 漏洞防护
Linux 监视系统资源使用率
Red Hat Linux上使用BIND建立DNS服务器

Unix/Linux 中的 简单高效:用Swatch做Linux日志分析


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 61 ::
收藏到网摘: n/a

 

  日志文件是我们发现系统问题的重要参考信息. 大部分的系统服务出现问题时都会给syslogd(系统日志守护进程)发送消息. 然后用户发觉并根据错误提示信息采取行动. 然而对于1000行以上的日志文件, 我们必须使用日志检查工具节省时间和避免漏掉重要信息.

  Swatch从字面上可以简单理解为Watcher(守护者). 其它的日志分析软件定期地扫描日志文件, 向你报告系统已经发生的问题或者状况. Swatch程序不仅能够做这些, 而且它能够像Syslogd守护程序那样主动的扫描日志文件并对特定的日志消息采取修复行动.


  一. 准备

  1. 下载和解压缩最新的Swatch软件包.建议从Swatch的官方网站获得可靠的Swatch软件包.

  下载网址: http://sourceforge.net/projects/swatch/

  1) 创建Swatch软件包存放的目录.

  #mkdir -p /usr/local/src/log

  2) 解压缩源代码包, 在log目录下会生成一个新的目录apache_1.3.33

  #tar zpxf swatch-3.1.1.tar.gz

  二. 安装

  #cd swatch-3.1.1
  #make
  #make test
  #make install
  #make realclean

  Swatch程序安装成功后, Perl模块将会用于Swatch程序的运行.

  三. 配置

  Swatch程序使用正向表达式(Regular Expressions)来发现感兴趣的目标行. 一旦Swatch发现某一行匹配预设定的模式, 它会立即采取行动, 比如说屏幕打印, 发送电子邮件, 或者采取用户预先设定的行动.

  watchfor /[dD]enied│/DEN.*ED/
  echo bold
  bell 3
  mail
  exec "/etc/call_pager 5551234 08"

  上面的脚本是Swatch配置文件一个部分的例子. 首先Swatch在指定的日志文件中寻找包含设定单词"denied, Denied, 或者其它以DEN开始或者以ED结束的单词的行. 一旦搜索到某行包含三个搜索单词中的任何一个. Swatch程序立即向终端显示粗体行和响铃三下, 然后发送电子邮件给运行swatch程序的用户(通常是
  root用户)警报所在行和执行/etc/call_paper程序, 忽略sendmail, fax, unimportant stuff. 在这个例子当中, 搜索字符串sendmail, fax和unimportant stuff将被忽略. 甚至他们符合预定搜索字符串中的一个.


  四. 使用

  使用Swatch非常的简单, 如通常使用Swatch检查日志, 运行:
  swatch --config-file=/home/zhaoke/swatch.conf
  --examine=/var/log/messages

  上面的例子中配置文件所在的系统绝对路径是/home/zhaoke/swatch.conf, 需要检查的日志文件是/var/log/messages.

  使用swatch检查不段增加的日志文件:
  swatch --config-file=/home/zhaoke/swatch.conf
  --tail-file=/var/log/messages


  五. 更多

  关于作者: 赵珂, 操作系统研究和安全工程师.
  zhaoke.net是作者的个人网站. 欢迎技术交流以及链接交换.

  原文出处: http://zhaoke.net/articles/general/2005-02-04.shtml

  版权声明: 引用或转载, 请注明作者与出处. 并请保留本文的连接.

  如有问题或错误请提交到:
  http://zhaoke.net/os/forum.php?do=viewtopic&cat=2&topic=5