log_analysis är en loggfil analys motor som extraherar relevanta data för någon av de erkända loggmeddelanden och producerar en sammanställning som är mycket lättare att läsa.
log_analysis är min lösning på dessa problem. Den går igenom flera olika typer av loggar (för närvarande syslog, wtmp och sulog), under någon period (standard igår). Det remsor ut datum och PID, och kastar bort vissa poster. Sen försöker varje post mot en lista över reguljära uttryck i Perl. Varje perl reguljärt uttryck är associerad med ett kategorinamn och en regel för att extrahera data. När det finns en match, är datautvinningsregeln, och arkiveras under kategorin.
Om en loggpost är okänd, det arkiverat under en speciell kategori för okända. Identiska poster för en viss kategori sorteras och räknas. Det finns en möjlighet att posta produktionen, så att du kan bara köra det ur cron. Du kan också spara en lokal kopia av produktionen. Om du föredrar att PGP-posta själv utgången, du kan göra detta också. Det hela är utformad för att enkelt förlängas, komplett med en enkel plug-in gränssnitt. Standardläget är för rapportering, men det också "riktiga" och "GUI" lägen för kontinuerlig övervakning, komplett med action stöd. Åh, och du kan redigera mönster i ett GUI som hjälper skriva reguljära uttryck snabbt och enkelt.
Säkerhet
Programmet måste köras med behörighet att läsa dina loggfiler för att vara användbar, vilket vanligtvis betyder rot. Det spelar ingen standard att suid root, och jag rekommenderar att du inte gör det SUID, så bara köra det som root (dvs. Manuellt eller ut ur cron). Jag har försökt att undvika temporära filer överallt att jag kan, och i ett fall där jag använder en temp-fil, jag ser till att använda POSIX tmpnam funktion istället för att försöka göra upp min egen temp-fil algoritm. Standard umask är 077. Om du använder åtgärdskommandon, det finns inget som hindrar dig från att använda delar av loggmeddelandet i osäkra vägar, så för Guds skull, var försiktig.
Lokala förlängningar
log_analysis redan har massor av regler, men risken är stor att du har loggposter som inte redan omfattas. Så kan log_analysis lätt utökas via ett lokalt konfigurationsfil, som dokumenterats i log_analysis manualsida. Det finns även ett enkelt sätt att göra modulära plug-ins
Funktioner :.
- Loggar innehåller massor av ovidkommande saker som jag vill vara inloggad, men att jag inte vill gå igenom när jag granska loggar (dvs. rutin, felfri daemon drift.)
- Loggar innehåller mycket repetition, vilket dränker ut de intressanta poster.
- Konstaterar upprepning kan vara knepigt eftersom varje post har oftast extra funktioner för att göra den unik, såsom ett datum, kanske en PID (dvs. För syslog), och kanske applikationsspecifik information (dvs.. Sendmail kö-ID.)
- Man måste komma ihåg att granska dem. :)
- Man måste vara roten till utseende på loggar för vissa operativsystem.
- På de flesta system, tittar på loggarna för bara en dag kan vara en smärta.
- Om jag attackera varje ruta jag ta itu med och skriva en separat skript för att göra allt detta, jag ska slösa bort en massa tid duplicera ansträngning.
- Skriva mönster är en smärta även om du vet reguljära uttryck.
Vad är nytt i den här versionen:.
- Denna version lägger mindre funktioner och mindre buggfixar
Kommentarer hittades inte