Registra conjuntos de ferramentas de monitoramento para o Unix? [fechadas]

Navegue suas respostas
5

Quais são algumas boas ferramentas para monitorar logs em um sistema? Atualmente estou usando logsentry, que basicamente apenas executa grep em logs, ignora regexps que eu digo ignorar, e me envia todo o resto, mas eu gostaria de encontrar algo um pouco 'mais inteligente', (ou seja, pode entender o que um log Postfix está além de ser apenas uma série de linhas a serem usadas, coisas assim - conhecimento contextual).

Nos serviços, não executando nada particularmente exótico - apache, memcached, postgres, postfix, openssh, squid, bind, mailman. Sobre a coisa mais estranha em execução é o monótono , que eu não esperaria que nenhum analisador de log suportasse (assim, seria bom se fosse fácil estender com a compreensão de serviços adicionais).

Algo que pode analisar e resumir informações em relatórios por hora ou diários (por exemplo, 15 404s relatados neste arquivo de log do Apache, 3 logins por esse usuário de IPs x, yez 5 emails enviados por esse usuário e 150 recebidos por esse outro usuário, o disco X está 90% cheio, 3000 tentativas ssh malsucedidas desses IPs aleatórios, etc.) seriam ideais.

Examinei várias listas de ferramentas de monitoramento de logs para o Unix, mas a maioria delas parece se resumir a tail -f ou grep . Eu espero que haja algo que eu tenha esquecido.

    
por Jack Lloyd 29.10.2009 / 14:29

4 respostas

6

Eu penso em monitorar em dois tipos. Está monitorando o estado atual e mantendo um histórico disso no servidor de monitoramento, e também há histórico de monitoramento (logs).

Algumas das informações que você listou não devem ser monitoradas por meio de registros. Espaço em disco, por exemplo, provavelmente seria melhor monitorado por um plug-in que chama o comando df ou algo parecido. Então, eu consideraria isso monitorando o estado atual, mesmo que você mantenha um registro disso.

Eu gosto de Splunk para monitoramento de logs, mas é caro se você precisar fazer coisas que a versão gratuita não faz. Para monitorar coisas como espaço em disco, se um processo estiver em execução, uso de cpu, etc, pessoalmente, eu gosto de Nagios . Os dois pares bem juntos eu acho.

Você pode encontrar algo que faça as duas coisas bem, mas eu não tentaria fazer um tipo para fazer o outro (isto é, o Nagios para monitorar logs), provavelmente será um pouco hackiano.

    
por 29.10.2009 / 14:35
4

Você pode usar Octopussy para todas as informações que solicitou. (exceto o '90% disk full ', como Kyle disse provavelmente melhor monitorado por monitores do Sistema como Nagios , Zabbix , ...)

Octopussy é uma solução de gerenciamento de log para:

  • Pesquise nos seus registros
  • Levantar alertas dos registros
  • Gerar relatórios de registros

Com o Octopussy , você pode 'facilmente' criar relatórios sobre qualquer coisa que você queira em qualquer registro. (pode não ser tão "fácil" porque você precisa de algum trabalho para definir padrões e relatórios de logs, mas realmente poderoso depois do primeiro trabalho)

Disclaimer: Eu trabalho em Octopussy .

    
por 02.11.2009 / 01:55
2

O que você quer é o OSSEC, sério. Ele coloca logentry, logwatch e similares facilmente.

Ele faz exatamente isso por padrão, detectando varreduras da web, forças brutas e muitos problemas usando a análise de log (ou detecção de invasão baseada em log, como eles chamam).

Experimente, é a ferramenta mais fácil de instalar (apenas execute o script install.sh) e aproveite.

Link: link

    
por 06.11.2009 / 21:15
0

O Logwatch, que está instalado e ativo, eu acredito, tanto no Debian quanto no Redhat, faz muitos dos relatórios que você está procurando. Espero que haja muita sobreposição com o que você obtém do log-in. Por alguma razão, as configurações do logwatch no Redhat produzem muito volume (esp samba log), tornando-o mais inútil, em contraste com relatórios mais rigorosos de logwatch do Debian.

Pessoalmente, dedico-me mais a observar apenas as coisas que provavelmente serão críticas. Tenho trabalhos agendados para testar se os dispositivos RAID veem todos os discos normais e me enviam um email, se não. Eu uso cactos para representar graficamente a fila ativa e total nos servidores MX e SMTP (por shell script consultado sobre snmp). Da mesma forma eu tenho estatísticas diárias sobre logs de postfix que são representados graficamente em cactos. O Denyhosts bloqueia excessivas ssh ou outras falhas de autenticação de serviço e e-mails root. Até mesmo a temperatura da sala do servidor pode ser monitorada obtendo a temperatura de um APC UPS (use apsupsd) e plotando isso em cactos. O Cacti também irá representar graficamente o uso do disco, a carga do servidor, etc. O melhor dos gráficos é que eles mostrarão tendências ao longo de semanas ou anos, que você pode não perceber de outra forma. Por exemplo, quanto spam está marcado ou tendências de espaço em disco. Isso permite planejamento futuro.

    
por 29.10.2009 / 15:36

Tags

Mais RAM ou mais cores para um servidor de banco de dados MySQL? Sistema a ser usado para manter um diretório corporativo