Linux memantau log dan peringatan email?


13

Saya memiliki server dengan tombol power yang salah yang suka reboot sendiri. Biasanya ada tanda-tanda peringatan, seperti file log acpid di / var / log mulai spamming sekitar 10 jam atau lebih.

Apakah ada cara mudah saya dapat memiliki sesuatu memonitor log acpid dan mengirim email kepada saya ketika ada aktivitas baru?

Saya tidak akan menganggap diri saya sangat maju sehingga "panduan" yang mungkin Anda miliki untuk mencapai sesuatu seperti ini akan sangat membantu dan sangat dihargai. Terima kasih!


Apakah mengubah tombol daya dan / atau server solusi yang masuk akal?
Meetai.com

Jawaban:


19

Anda bisa menggunakan sesuatu seperti LogWatch . Atau bahkan skrip sederhana seperti ini (ini kode semu yang harus Anda modifikasi untuk lingkungan Anda):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Masukkan bahwa dalam cron untuk menjalankan setiap jam atau lebih dan Anda harus mendapatkan email yang memberi tahu Anda ketika itu semakin aneh.


1
logwatch sangat bagus untuk saya.
J.Zimmerman

3
Masalah dengan skrip ini adalah bahwa ia akan mengirim kesalahan yang sama berulang-ulang sampai file diputar
chmeee

Di Ubuntu / Debian logwatch dapat diinstal dengan: aptitude install -y logwatch
Meetai.com

8

Anda dapat menggunakan OSSEC HIDS untuk mengatur aturan pada file log dan, pada saat yang sama, mendapatkan informasi keamanan dari host Anda.

Pengaturannya sangat mudah:

  • Unduh sumbernya
  • Buka kompresi dan jalankan ./install.sh
  • Pilih pemasangan lokal
  • Jawab pertanyaan (email, cek, dll.)
  • Edit /var/ossec/rules/local_rules.xmlsebagaimana ditentukan di bawah ini
  • Mulai OSSEC dengan /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

Aturan bisa sangat fleksibel dan kompleks. Lihat tabel ini untuk mendapatkan gagasan tentang parameter yang terlibat dalam aturan.

Jika Anda tidak ingin atau memerlukan fitur keamanan lainnya, Anda dapat menonaktifkannya dengan menghapus includegaris di bawah rulestag.


5

Saya akan menyarankan Nagios apa yang kami jalankan di mana saya bekerja untuk memantau beberapa mesin dengan jaringan. Sangat bagus saya tidak menggunakannya khusus untuk apa yang Anda lakukan, tetapi Anda dapat mengaturnya untuk mengirim email kepada Anda ketika kesalahan terjadi.

Ada panduan di sini untuk menginstalnya di Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ dan satu di sini untuk menginstal di http: //www.debianhelp. co.uk/nagiosinstall.htm .


3

Dan Anda dapat mengirimkannya dengan sesuatu seperti ini:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" user@domain.com
rm -f $EMAILMGS

3

Saya menggunakan Zabbix dengan alat IPMI untuk me-restart server yang rusak sesuai permintaan. Juga, saya pikir OSSEC adalah pilihan yang baik juga, tetapi Anda benar-benar perlu bereksperimen dan men-debug sebelum memasukkannya ke ...


3

Unduh dan pasang Splunk di server. Ini mirip dengan logwatch, tetapi memberi Anda mesin pencari untuk log Anda.

Anda dapat mengkonfigurasinya untuk mengindeks log Anda, Anda kemudian dapat mencari log dan menemukan pola, menemukan kesalahan, dan kemudian melihat apa yang dilakukan log lain pada titik kegagalan tertentu.

Itu juga dapat diatur untuk mengirim peringatan atau menjalankan skrip pada ambang tertentu. Jadi, jika kesalahan tertentu mulai di-spammed ke log Anda, Anda bisa skrip untuk memulai kembali layanan yang menyinggung secara otomatis.

Kami menggunakan splunk di cluster server kami dan telah menjadi penyelamat!


+1 untuk Splunk terlihat cukup bagus, saya akan mencobanya nanti malam.
Mark Davidson

1

Di perusahaan sebelumnya, kami menggunakan logsurfer + untuk memonitor log secara real time dan mengirim peringatan email. Dibutuhkan banyak waktu dan konfigurasi untuk menyesuaikan positif palsu, tetapi kami memiliki seperangkat aturan yang bekerja cukup baik untuk berbagai temuan dan mengingatkan, jauh lebih berharga daripada Nagios untuk tujuan yang sama.

Sayangnya saya tidak memiliki akses ke file konfigurasi lagi untuk memberikan sampel dari apa yang kami filter, tetapi situs harus memberikan lebih banyak informasi dan contoh.


Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.