当前位置: 首页 > 图文教程 > 操作系统 > Unix/Linux > 简单高效:用Swatch做Linux日志分析

Unix/Linux
Linux crontab定时执行任务 命令格式与详细例子
linux 查看用户及用户组的方法
让Linux系统有效防御ARP攻击的实用技巧
Linux 常用软件列表
linux wget 一个强大的下载命令
linux 常用脚本、命令
linux 磁盘配额 简单介绍
Linux服务器架设笔记 Squid服务器配置
ubuntu intel 集成显卡安装
ubuntu 9.04 X3100 显卡开启3D特效
Ubuntu 8.10 Server Ruby 的安装方法
Ubuntu root帐户密码修改
ubuntu下apt-get 命令参数
Ubuntu Linux下实现QQ的三种方式
Ubuntu 8.04中建立PHP+MySQL环境
Ubuntu常用软件大全
Ubuntu系统下安装Aircrack-ng
Ubuntu实现FTP功能
ubuntu 字体美化实现方法
ubuntu下netbeans汉字显示残缺问题

Unix/Linux 中的 简单高效:用Swatch做Linux日志分析


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-11-01   浏览: 53 ::
收藏到网摘: n/a

 

  日志文件是我们发现系统问题的重要参考信息. 大部分的系统服务出现问题时都会给syslogd(系统日志守护进程)发送消息. 然后用户发觉并根据错误提示信息采取行动. 然而对于1000行以上的日志文件, 我们必须使用日志检查工具节省时间和避免漏掉重要信息.

  Swatch从字面上可以简单理解为Watcher(守护者). 其它的日志分析软件定期地扫描日志文件, 向你报告系统已经发生的问题或者状况. Swatch程序不仅能够做这些, 而且它能够像Syslogd守护程序那样主动的扫描日志文件并对特定的日志消息采取修复行动.


  一. 准备

  1. 下载和解压缩最新的Swatch软件包.建议从Swatch的官方网站获得可靠的Swatch软件包.

  下载网址: http://sourceforge.net/projects/swatch/

  1) 创建Swatch软件包存放的目录.

  #mkdir -p /usr/local/src/log

  2) 解压缩源代码包, 在log目录下会生成一个新的目录apache_1.3.33

  #tar zpxf swatch-3.1.1.tar.gz

  二. 安装

  #cd swatch-3.1.1
  #make
  #make test
  #make install
  #make realclean

  Swatch程序安装成功后, Perl模块将会用于Swatch程序的运行.

  三. 配置

  Swatch程序使用正向表达式(Regular Expressions)来发现感兴趣的目标行. 一旦Swatch发现某一行匹配预设定的模式, 它会立即采取行动, 比如说屏幕打印, 发送电子邮件, 或者采取用户预先设定的行动.

  watchfor /[dD]enied│/DEN.*ED/
  echo bold
  bell 3
  mail
  exec "/etc/call_pager 5551234 08"

  上面的脚本是Swatch配置文件一个部分的例子. 首先Swatch在指定的日志文件中寻找包含设定单词"denied, Denied, 或者其它以DEN开始或者以ED结束的单词的行. 一旦搜索到某行包含三个搜索单词中的任何一个. Swatch程序立即向终端显示粗体行和响铃三下, 然后发送电子邮件给运行swatch程序的用户(通常是
  root用户)警报所在行和执行/etc/call_paper程序, 忽略sendmail, fax, unimportant stuff. 在这个例子当中, 搜索字符串sendmail, fax和unimportant stuff将被忽略. 甚至他们符合预定搜索字符串中的一个.


  四. 使用

  使用Swatch非常的简单, 如通常使用Swatch检查日志, 运行:
  swatch --config-file=/home/zhaoke/swatch.conf
  --examine=/var/log/messages

  上面的例子中配置文件所在的系统绝对路径是/home/zhaoke/swatch.conf, 需要检查的日志文件是/var/log/messages.

  使用swatch检查不段增加的日志文件:
  swatch --config-file=/home/zhaoke/swatch.conf
  --tail-file=/var/log/messages


  五. 更多

  关于作者: 赵珂, 操作系统研究和安全工程师.
  zhaoke.net是作者的个人网站. 欢迎技术交流以及链接交换.

  原文出处: http://zhaoke.net/articles/general/2005-02-04.shtml

  版权声明: 引用或转载, 请注明作者与出处. 并请保留本文的连接.

  如有问题或错误请提交到:
  http://zhaoke.net/os/forum.php?do=viewtopic&cat=2&topic=5