log_analysis is een log file analyse-engine die relevante gegevens op te halen voor een van de erkende log boodschappen en produceert een samenvatting die is veel gemakkelijker te lezen.
log_analysis is mijn oplossing voor deze problemen. Het gaat door verschillende soorten logs (momenteel syslog, wtmp, en sulog), gedurende een bepaalde periode (standaard gisteren). Het strips uit de datum en de PID, en gooit bepaalde vermeldingen. Het probeert dan elk item met een lijst van perl reguliere expressies. Elke perl reguliere expressie wordt geassocieerd met een categorie naam en een regel voor de extractie van gegevens. Als er een match, wordt de data-extractie van regel toegepast, en is gearchiveerd onder de categorie.
Als een logboek bericht is niet bekend, het is ingediend op grond van een speciale categorie voor onbekenden. Identieke vermeldingen voor een bepaalde categorie worden gesorteerd en geteld. Er is een optie om mail de uitgang, dus je kunt gewoon lopen het uit van cron. U kunt ook een lokale kopie van de output op te slaan. Als u liever PGP-mail zelf de uitgang, kunt u dit ook doen,. Het geheel is ontworpen om gemakkelijk worden uitgebreid, compleet met een eenvoudige plug-in-interface. De standaard modus is voor rapportage, maar ook "echte" en "gui" modi voor continue monitoring, compleet met actie ondersteunen. Oh, en je kunt patronen bewerken in een GUI die helpt schrijf reguliere expressies snel en gemakkelijk.
Veiligheid
Het programma moet draaien met machtigingen om uw logbestanden lezen om bruikbaar te zijn, wat meestal betekent wortel. Het maakt niet standaard op SUID wortel, en ik raad niet waardoor het SUID, dus gewoon draaien als root (dwz. Handmatig of uit cron). Ik heb geprobeerd om tijdelijke bestanden te voorkomen dat overal waar ik kan, en in het ene geval waar ik geen gebruik maken van een tijdelijk bestand, ik zorg ervoor dat de POSIX tmpnam functie te gebruiken in plaats van proberen te maken van mijn eigen tijdelijk bestand algoritme. De standaard umask is 077. Als je actie commando's te gebruiken, is er niets om je te stoppen van het gebruik van delen van het logboek bericht onveilige manieren, dus voor goedheid wil, wees voorzichtig.
Lokale extensies
log_analysis heeft al veel regels, maar de kans is dat je moet inloggen items die nog niet zijn gedekt. Dus kan log_analysis eenvoudig worden uitgebreid via een lokale configuratiebestand, zoals gedocumenteerd in de log_analysis manpage. Er is zelfs een eenvoudige manier om modulaire plug-ins te doen
Kenmerken .
- Logs bevatten veel vreemde dingen die ik wil aangemeld, maar dat wil ik niet te ziften als ik bekijk logs (dwz. routine, foutloze daemon werking.)
- Logs bevatten veel herhaling, die overstemt de interessante items.
- Wijzend op herhaling kan lastig zijn, omdat elk item heeft meestal extra mogelijkheden om het uniek te maken, zoals een datum, misschien een PID (bijv. Voor syslog), en misschien applicatie-specifieke informatie (bijv. Sendmail wachtrij-ID's.)
- Men moet niet vergeten om ze te herzien. :)
- Men moet root zijn om looks op logs voor een aantal besturingssystemen.
- Op de meeste systemen, kijkend naar de logs voor slechts één dag kan een pijn zijn.
- Als ik aanval elke doos ik omgaan met en schrijf een apart script om dit allemaal te doen, zal ik een hoop tijd dupliceren moeite verspillen.
- Het schrijven van patronen is een pijn, zelfs als je weet dat reguliere expressies.
Wat is nieuw in deze release:.
- Deze versie voegt kleine functies en kleine bugfixes
Reacties niet gevonden