Linux memantau log dan peringatan email?

13

Saya memiliki server dengan tombol power yang salah yang suka reboot sendiri. Biasanya ada tanda-tanda peringatan, seperti file log acpid di / var / log mulai spamming sekitar 10 jam atau lebih.

Apakah ada cara mudah saya dapat memiliki sesuatu memonitor log acpid dan mengirim email kepada saya ketika ada aktivitas baru?

Saya tidak akan menganggap diri saya sangat maju sehingga "panduan" yang mungkin Anda miliki untuk mencapai sesuatu seperti ini akan sangat membantu dan sangat dihargai. Terima kasih!

Physikal
sumber
Apakah mengubah tombol daya dan / atau server solusi yang masuk akal?
Meetai.com

Jawaban:

19

Anda bisa menggunakan sesuatu seperti LogWatch . Atau bahkan skrip sederhana seperti ini (ini kode semu yang harus Anda modifikasi untuk lingkungan Anda):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Masukkan bahwa dalam cron untuk menjalankan setiap jam atau lebih dan Anda harus mendapatkan email yang memberi tahu Anda ketika itu semakin aneh.

Zypher
sumber
1
logwatch sangat bagus untuk saya.
J.Zimmerman
3
Masalah dengan skrip ini adalah bahwa ia akan mengirim kesalahan yang sama berulang-ulang sampai file diputar
chmeee
Di Ubuntu / Debian logwatch dapat diinstal dengan: aptitude install -y logwatch
Meetai.com
8

Anda dapat menggunakan OSSEC HIDS untuk mengatur aturan pada file log dan, pada saat yang sama, mendapatkan informasi keamanan dari host Anda.

Pengaturannya sangat mudah:

  • Unduh sumbernya
  • Buka kompresi dan jalankan ./install.sh
  • Pilih pemasangan lokal
  • Jawab pertanyaan (email, cek, dll.)
  • Edit /var/ossec/rules/local_rules.xmlsebagaimana ditentukan di bawah ini
  • Mulai OSSEC dengan /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

Aturan bisa sangat fleksibel dan kompleks. Lihat tabel ini untuk mendapatkan gagasan tentang parameter yang terlibat dalam aturan.

Jika Anda tidak ingin atau memerlukan fitur keamanan lainnya, Anda dapat menonaktifkannya dengan menghapus includegaris di bawah rulestag.

chmeee
sumber
5

Saya akan menyarankan Nagios apa yang kami jalankan di mana saya bekerja untuk memantau beberapa mesin dengan jaringan. Sangat bagus saya tidak menggunakannya khusus untuk apa yang Anda lakukan, tetapi Anda dapat mengaturnya untuk mengirim email kepada Anda ketika kesalahan terjadi.

Ada panduan di sini untuk menginstalnya di Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ dan satu di sini untuk menginstal di http: //www.debianhelp. co.uk/nagiosinstall.htm .

Mark Davidson
sumber
3

Dan Anda dapat mengirimkannya dengan sesuatu seperti ini:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" [email protected]
rm -f $EMAILMGS
Sepatu
sumber
3

Saya menggunakan Zabbix dengan alat IPMI untuk me-restart server yang rusak sesuai permintaan. Juga, saya pikir OSSEC adalah pilihan yang baik juga, tetapi Anda benar-benar perlu bereksperimen dan men-debug sebelum memasukkannya ke ...

edomaur
sumber
3

Unduh dan pasang Splunk di server. Ini mirip dengan logwatch, tetapi memberi Anda mesin pencari untuk log Anda.

Anda dapat mengkonfigurasinya untuk mengindeks log Anda, Anda kemudian dapat mencari log dan menemukan pola, menemukan kesalahan, dan kemudian melihat apa yang dilakukan log lain pada titik kegagalan tertentu.

Itu juga dapat diatur untuk mengirim peringatan atau menjalankan skrip pada ambang tertentu. Jadi, jika kesalahan tertentu mulai di-spammed ke log Anda, Anda bisa skrip untuk memulai kembali layanan yang menyinggung secara otomatis.

Kami menggunakan splunk di cluster server kami dan telah menjadi penyelamat!

Amish Geek
sumber
+1 untuk Splunk terlihat cukup bagus, saya akan mencobanya nanti malam.
Mark Davidson
1

Di perusahaan sebelumnya, kami menggunakan logsurfer + untuk memonitor log secara real time dan mengirim peringatan email. Dibutuhkan banyak waktu dan konfigurasi untuk menyesuaikan positif palsu, tetapi kami memiliki seperangkat aturan yang bekerja cukup baik untuk berbagai temuan dan mengingatkan, jauh lebih berharga daripada Nagios untuk tujuan yang sama.

Sayangnya saya tidak memiliki akses ke file konfigurasi lagi untuk memberikan sampel dari apa yang kami filter, tetapi situs harus memberikan lebih banyak informasi dan contoh.

jtimberman
sumber
0

Anda juga dapat melihat proyek Octopussy saya .

sebthebert
sumber