Saya memiliki server dengan tombol power yang salah yang suka reboot sendiri. Biasanya ada tanda-tanda peringatan, seperti file log acpid di / var / log mulai spamming sekitar 10 jam atau lebih.
Apakah ada cara mudah saya dapat memiliki sesuatu memonitor log acpid dan mengirim email kepada saya ketika ada aktivitas baru?
Saya tidak akan menganggap diri saya sangat maju sehingga "panduan" yang mungkin Anda miliki untuk mencapai sesuatu seperti ini akan sangat membantu dan sangat dihargai. Terima kasih!
Jawaban:
Anda bisa menggunakan sesuatu seperti LogWatch . Atau bahkan skrip sederhana seperti ini (ini kode semu yang harus Anda modifikasi untuk lingkungan Anda):
Masukkan bahwa dalam cron untuk menjalankan setiap jam atau lebih dan Anda harus mendapatkan email yang memberi tahu Anda ketika itu semakin aneh.
sumber
Anda dapat menggunakan OSSEC HIDS untuk mengatur aturan pada file log dan, pada saat yang sama, mendapatkan informasi keamanan dari host Anda.
Pengaturannya sangat mudah:
/var/ossec/rules/local_rules.xml
sebagaimana ditentukan di bawah ini/var/ossec/bin/ossec-control start
local_rules.xml
Aturan bisa sangat fleksibel dan kompleks. Lihat tabel ini untuk mendapatkan gagasan tentang parameter yang terlibat dalam aturan.
Jika Anda tidak ingin atau memerlukan fitur keamanan lainnya, Anda dapat menonaktifkannya dengan menghapus
include
garis di bawahrules
tag.sumber
Saya akan menyarankan Nagios apa yang kami jalankan di mana saya bekerja untuk memantau beberapa mesin dengan jaringan. Sangat bagus saya tidak menggunakannya khusus untuk apa yang Anda lakukan, tetapi Anda dapat mengaturnya untuk mengirim email kepada Anda ketika kesalahan terjadi.
Ada panduan di sini untuk menginstalnya di Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ dan satu di sini untuk menginstal di http: //www.debianhelp. co.uk/nagiosinstall.htm .
sumber
Dan Anda dapat mengirimkannya dengan sesuatu seperti ini:
sumber
Saya menggunakan Zabbix dengan alat IPMI untuk me-restart server yang rusak sesuai permintaan. Juga, saya pikir OSSEC adalah pilihan yang baik juga, tetapi Anda benar-benar perlu bereksperimen dan men-debug sebelum memasukkannya ke ...
sumber
Unduh dan pasang Splunk di server. Ini mirip dengan logwatch, tetapi memberi Anda mesin pencari untuk log Anda.
Anda dapat mengkonfigurasinya untuk mengindeks log Anda, Anda kemudian dapat mencari log dan menemukan pola, menemukan kesalahan, dan kemudian melihat apa yang dilakukan log lain pada titik kegagalan tertentu.
Itu juga dapat diatur untuk mengirim peringatan atau menjalankan skrip pada ambang tertentu. Jadi, jika kesalahan tertentu mulai di-spammed ke log Anda, Anda bisa skrip untuk memulai kembali layanan yang menyinggung secara otomatis.
Kami menggunakan splunk di cluster server kami dan telah menjadi penyelamat!
sumber
Di perusahaan sebelumnya, kami menggunakan logsurfer + untuk memonitor log secara real time dan mengirim peringatan email. Dibutuhkan banyak waktu dan konfigurasi untuk menyesuaikan positif palsu, tetapi kami memiliki seperangkat aturan yang bekerja cukup baik untuk berbagai temuan dan mengingatkan, jauh lebih berharga daripada Nagios untuk tujuan yang sama.
Sayangnya saya tidak memiliki akses ke file konfigurasi lagi untuk memberikan sampel dari apa yang kami filter, tetapi situs harus memberikan lebih banyak informasi dan contoh.
sumber
Anda juga dapat melihat proyek Octopussy saya .
sumber