Linux theo dõi nhật ký và thông báo qua email?


13

Tôi có một máy chủ với nút nguồn bị lỗi thích tự khởi động lại. Thông thường có các dấu hiệu cảnh báo, như tệp nhật ký acpid trong / var / log bắt đầu spam rác trong khoảng 10 giờ hoặc lâu hơn.

Có cách nào dễ dàng để tôi có thể theo dõi nhật ký acpid và gửi email cho tôi khi có hoạt động mới không?

Tôi sẽ không cho rằng bản thân mình cực kỳ tiên tiến nên bất kỳ "hướng dẫn" nào bạn có thể có để hoàn thành một việc như thế này sẽ rất hữu ích và được đánh giá cao. Cảm ơn bạn!


Việc thay đổi nút nguồn và / hoặc máy chủ có phải là giải pháp hợp lý không?
Meetai.com

Câu trả lời:


19

Bạn có thể sử dụng một cái gì đó như LogWatch . Hoặc thậm chí là một tập lệnh đơn giản như thế này (đó là mã giả bạn sẽ cần sửa đổi nó cho môi trường của bạn):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Đặt nó trong cron để chạy mỗi giờ hoặc lâu hơn và bạn sẽ nhận được một email cho bạn biết khi nào nó trở nên tồi tệ hơn.


1
logwatch hoạt động tuyệt vời cho tôi.
J.Zimmerman

3
Vấn đề với tập lệnh này là nó sẽ gửi cùng một lỗi cho đến khi tập tin được xoay
chmeee

Trên logwatch Ubuntu / Debian có thể được cài đặt với: aptitude install -y logwatch
Meetai.com

8

Bạn có thể sử dụng OSSEC HIDS để thiết lập quy tắc trên các tệp nhật ký, đồng thời, lấy thông tin bảo mật từ máy chủ của bạn.

Thiết lập nó rất dễ dàng:

  • Tải về nguồn
  • Giải nén nó và chạy ./install.sh
  • Chọn cài đặt cục bộ
  • Trả lời các câu hỏi (email, kiểm tra, v.v.)
  • Chỉnh sửa /var/ossec/rules/local_rules.xmltheo quy định dưới đây
  • Bắt đầu OSSEC với /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

Các quy tắc có thể rất linh hoạt và phức tạp. Xem bảng này để có ý tưởng về các tham số trong một quy tắc.

Nếu bạn không muốn hoặc không cần các tính năng bảo mật khác, bạn có thể tắt chúng bằng cách xóa các includedòng bên dưới rulesthẻ.


5

Tôi sẽ đề nghị Nagios về những gì chúng tôi chạy ở nơi tôi làm việc để giám sát nhiều máy có mạng. Nó rất tốt tôi đã không sử dụng nó đặc biệt cho những gì bạn đang làm nhưng bạn chắc chắn có thể thiết lập nó để gửi email cho bạn khi xảy ra lỗi.

Có một hướng dẫn ở đây để cài đặt nó trên Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubfox-810/ và một ở đây để cài đặt trên http: //www.debianhelp. co.uk/nagiosinstall.htmlm .


3

Và bạn có thể gửi nó với một cái gì đó như thế này:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" user@domain.com
rm -f $EMAILMGS

3

Tôi đang sử dụng Zabbix với các công cụ IPMI để khởi động lại các máy chủ bị lỗi theo yêu cầu. Ngoài ra, tôi nghĩ OSSEC cũng là một lựa chọn tốt, nhưng bạn thực sự cần phải thử nghiệm và gỡ lỗi trước khi đưa nó vào ...


3

Tải xuống và cài đặt Splunk trên máy chủ. Nó tương tự như logwatch, nhưng cung cấp cho bạn một công cụ tìm kiếm cho nhật ký của bạn.

Bạn có thể định cấu hình nó để lập chỉ mục nhật ký của mình, sau đó bạn có thể tìm kiếm nhật ký và tìm mẫu, tìm lỗi và sau đó xem các bản ghi khác đang làm gì tại điểm thất bại cụ thể đó.

Nó cũng có thể được đặt để gửi cảnh báo hoặc thực thi các tập lệnh ở ngưỡng nhất định. Vì vậy, nếu một lỗi cụ thể bắt đầu bị spam vào nhật ký của bạn, bạn có thể tập lệnh để tự động khởi động lại dịch vụ vi phạm.

Chúng tôi sử dụng splunk trong cụm máy chủ của chúng tôi và nó đã là cứu cánh!


+1 cho Splunk có vẻ khá tốt tôi sẽ thử lại vào tối nay.
Mark Davidson

1

Tại một nhà tuyển dụng trước đó, chúng tôi đã sử dụng logurfer + để theo dõi nhật ký trong thời gian thực và gửi thông báo qua email. Sẽ mất rất nhiều thời gian và cấu hình để điều chỉnh cho các kết quả dương tính giả, nhưng chúng tôi đã có một quy tắc hoạt động khá tốt cho nhiều phát hiện và cảnh báo, có giá trị hơn nhiều so với Nagios cho các mục đích tương tự.

Thật không may, tôi không có quyền truy cập vào tệp cấu hình nữa để cung cấp các mẫu về những gì chúng tôi đã lọc, nhưng trang web sẽ cung cấp thêm thông tin và ví dụ.


Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.