为什么 cron 作业会出现在日志检查报告中?

为什么 cron 作业会出现在日志检查报告中?

我刚刚安装了 logcheck,并将其配置为在发现问题时向我发送邮件。默认情况下,它每小时在 HH:02 运行一次,并向我发送如下邮件:

Jan 31 20:05:01 Linux CRON[3186]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Jan 31 20:09:01 Linux CRON[4462]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -n 200 -r -0 rm)
Jan 31 20:15:01 Linux CRON[6777]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Jan 31 20:17:01 Linux CRON[7782]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Jan 31 20:20:01 Linux CRON[8528]: (smmsp) CMD (test -x /etc/init.d/sendmail && /usr/share/sendmail/sendmail cron-msp)
Jan 31 20:25:01 Linux CRON[9778]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Jan 31 20:35:01 Linux CRON[12717]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Jan 31 20:39:01 Linux CRON[14959]: (root) CMD (  [ -x /usr/lib/php5/maxlifetime ] && [ -d /var/lib/php5 ] && find /var/lib/php5/ -type f -cmin +$(/usr/lib/php5/maxlifetime) -print0 | xargs -n 200 -r -0 rm)
Jan 31 20:40:01 Linux CRON[15312]: (smmsp) CMD (test -x /etc/init.d/sendmail && /usr/share/sendmail/sendmail cron-msp)
Jan 31 20:45:01 Linux CRON[16669]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Jan 31 20:55:01 Linux CRON[20718]: (root) CMD (command -v debian-sa1 > /dev/null && debian-sa1 1 1)
Jan 31 21:00:01 Linux CRON[21969]: (smmsp) CMD (test -x /etc/init.d/sendmail && /usr/share/sendmail/sendmail cron-msp)
Jan 31 21:00:01 Linux CRON[21974]: (root) CMD (/usr/sbin/rdate 128.2.136.71 | logger -t NTP)
Jan 31 21:02:01 Linux CRON[22567]: (logcheck) CMD (   if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi)

我不明白它为什么抱怨这些,在我看来它们就像标准的系统 cron 作业。有人能解释一下吗?

谢谢

答案1

嗯,logcheck 相当简单:它将抓取配置为监视的所有日志文件,过滤掉它认为“正常”的文件,然后将其他所有内容发送给您。

logcheck 使用规则数据库(“logcheck-database”)将日志条目分类为“攻击”、“安全”等事件,然后将其邮寄给您。

如果它向您发送您不感兴趣的事件,则必须调整数据库以排除这些事件。这必然会在某种程度上特定于系统,因此无法开箱即用。

话虽如此,logcheck 有点过于简单,在我看来不太适合监控许多服务器。如果您想要进行严肃的监控,我建议您查看监控软件。我使用 ZenOSS 取得了不错的效果,但还有很多其他软件(在 serverfault 上搜索)。

相关内容