我想将包含特定短语的特定日志发送到我的邮件。
例如:
ERROR LOG SOMETHING.COM IP XX.XXX.XXX.XXX PORT:2343 Bad XXXXXXX
如果上层日志有阶段SOMETHING.COM,请将此日志发送到电子邮件。
可以在logwatch或中吗kibana?或者也许是别的什么?
答案1
这可以通过简单事件相关器和一个配置文件
type=SingleWithThreshold
ptype=SubStr
pattern=SOMETHING.COM
desc=SOMETHING.COM
action=pipe '%s' /usr/bin/mail -s 'SOMETHING.COM' [email protected]
window=86400
thresh=1
并sec告知使用包含上述内容的文件来对抗日志中出现的文件(这将根据sec安装方式、是否有供应商软件包等而有所不同)。
window除非您喜欢为每个匹配的日志行处理数百或数千封电子邮件,否则这一点相当重要;sec有其他方式汇总或总结结果;请参阅文档。