Linux monitora logs e alertas de email?

12

Eu tenho um servidor com um botão de energia defeituoso que gosta de se reiniciar. Normalmente, há sinais de alerta, como o arquivo de log acpid em / var / log que inicia o spam de lixo por cerca de 10 horas ou mais.

Existe uma maneira fácil que eu posso ter algo monitorar o log acpid e me enviar e-mail quando tem nova atividade?

Eu não me considero extremamente avançado, então qualquer "guia" que você possa ter para realizar algo assim seria muito útil e muito apreciado. Obrigada!

    
por Physikal 24.07.2009 / 17:58

8 respostas

18

Você pode usar algo como LogWatch . Ou até mesmo um script simples como este (é um pseudo código que você precisa modificar para o seu ambiente):

 #!/bin/bash
 GREP_STRING='grep -c <error string> <acpid log location>'
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Coloque isso no cron para rodar a cada hora ou mais e você deve receber um e-mail avisando quando estiver ficando estranho.

    
por 24.07.2009 / 18:12
7

Você pode usar o OSSEC HIDS para configurar regras em arquivos de log e, ao mesmo tempo, obter informações de segurança do seu host.

Configurar é muito fácil:

  • Faça o download da fonte
  • Descompacte-o e execute ./install.sh
  • Escolha a instalação local
  • Responda as perguntas (email, cheques, etc.)
  • Edite /var/ossec/rules/local_rules.xml conforme especificado abaixo
  • Inicie o OSSEC com /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

As regras podem ser muito flexíveis e complexas. Veja esta tabela para ter uma ideia dos parâmetros envolvidos em uma regra.

Se você não quiser ou precisar dos outros recursos de segurança, poderá desativá-los removendo as include linhas sob a tag rules .

    
por 25.07.2009 / 18:08
5

Eu sugeriria Nagios é o que corremos onde trabalho para monitorar várias máquinas com rede. É muito bom eu não usei especificamente para o que você está fazendo, mas você certamente pode configurá-lo para e-mail quando ocorrerem erros.

Existe um guia aqui para instalá-lo no Ubuntu link e um aqui para instalar no link .

    
por 25.07.2009 / 20:33
3

E você pode enviá-lo com algo parecido com isto:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" [email protected]
rm -f $EMAILMGS
    
por 24.07.2009 / 19:31
3

Estou usando o Zabbix com as ferramentas do IPMI para reiniciar os servidores defeituosos sob demanda. Além disso, acho que o OSSEC também é uma boa escolha, mas você realmente precisa experimentar e depurar antes de colocá-lo em prod ...

    
por 28.07.2009 / 23:59
3

Faça o download e instale o Splunk no servidor. É semelhante ao logwatch, mas fornece um mecanismo de pesquisa para seus registros.

Você pode configurá-lo para indexar seus registros, depois pesquisar os logs e encontrar padrões, localizar os erros e, em seguida, verificar o que outros registros estão fazendo nesse ponto específico de falha.

Ele também pode ser configurado para enviar alertas ou executar scripts em determinados limites. Portanto, se um erro específico começar a ser enviado para o seu log, você poderá fazer o script para reiniciar automaticamente o serviço ofensivo.

Nós usamos o splunk em nosso cluster de servidores e foi um salva-vidas!

    
por 25.07.2009 / 04:44
1

Em um empregador anterior, usamos logsurfer + para monitorar os registros em tempo real e enviar alertas por e-mail. Demora muito tempo e configuração para sintonizar os falsos positivos, mas tivemos um conjunto de regras que funcionou muito bem para uma variedade de descobertas e alertas, muito mais valioso do que o Nagios para propósitos semelhantes.

Unforunately não tenho mais acesso ao arquivo de configuração para fornecer amostras do que filtramos, mas o site deve fornecer mais informações e exemplos.

    
por 28.07.2009 / 11:17
0

Você também pode dar uma olhada no meu projeto Octopussy .

    
por 03.08.2009 / 02:07