您会使用 Splunk 吗？

安装 logcheck 包。它会每小时扫描一次日志，并通过电子邮件向您发送它认为不正常的任何内容。本质上，它会通过电子邮件发送过去一小时内进入日志的所有内容，而它没有忽略规则。还有其他攻击规则，包括不应出现在日志中的内容。电子邮件主题行因选择内容的原因而异。

当我发现一些我认为正常但没有现有忽略规则的事情时，我通常会为其建立一个本地忽略文件。

各种 syslog 替代方案都支持服务器整合，因此您可以将日志转发到单个服务器。但是，我还没有养成这样做的习惯。我转发日志的唯一系统是我的 OpenWRT 防火墙。

编辑：我确实在工作中使用 Splunk 来搜索日志文件，尽管如果我知道我要查找的特定日志，我更可能少用它。它确实具有警报功能，但我们不使用它们。我预计它们会在与已知记录匹配时发出警报。如果您遇到没有警报规则的新问题，这可能会导致大量误报。我更喜欢像从 logcheck 获得的那样的误报。不过，Splunk 的警报时效性可能更好。

我确实会及时收到来自 fail2ban 的警报，了解触发该警报的情况。它还会维护原始来源的黑名单条目。

还有一件事要补充。我们公司最近考虑购买 Splunk。我们确实有超过 500MB 的日志需要分析，而且我们发现他们的许可模式非常昂贵。Splunk 利用其日益普及的优势，多年来慢慢提高了价格。当我们 2 年前第一次查看它时，免费限制为 1GB，许可费用是现在的一半。

Splunk 是一款出色的工具，但以它的当前价格，我建议我认真考虑其他替代品。

Splunk 和 cPanel 并不属于同一类别的软件。我记得 cPanel 是一个基于 Web 的系统管理包。Splunk 是一个数据分析和警报工具。

尽管如此，根据我们的网站：

“免费下载 Splunk。您将获得 60 天内的所有 Splunk 企业功能，并且每天可以索引最多 500 兆字节的数据。60 天后或在此之前的任何时间，您可以转换为永久免费许可证或购买企业许可证以继续使用专为多用户企业部署设计的扩展功能。”

可以说，您可以在大多数平均大小的系统日志数据集上免费下载和使用 Splunk。

至于诊断您的服务器是否受到攻击，Splunk 可以满足您的需求。请查看我今天的博客文章，其中我将向您展示如何在有人试图使用无效凭据登录您的服务器时设置 iPhone 警报。

http://blogs.splunk.com/2010/08/16/how-to-use-notifo-to-receive-splunk-alerts-on-your-iphone/

如果您还有其他问题或者想要获得我们产品的扩展演示许可，请随时与我联系。

我们使用 Splunk 来做这种事情……Windows 和 Linux 主机都将其日志转发到 Splunk，并且 Splunk 中有一些“已保存的搜索”可以生成警报。可以检测所有用户名和系统中的“过去 30 分钟内超过 X 次登录失败”之类的内容（不过，保存的搜索很复杂，为了捕获 Windows、Linux 系统和各种应用程序……）。它现在也非常适合搜索日志。

对于足够小的数据集，Splunk 可以免费。

您确实需要根据每天向 Splunk 发送的数据量、要保留的数据量以及要进行的搜索量来适当扩展服务器。否则服务器可能会陷入瘫痪。

在 Splunk 出现之前，我们曾经使用美国证券交易委员会在系统日志服务器上，所有日志都转发到它。编写保存的搜索要困难得多，而且在事后搜索时，它实际上无法替代 grep。不过，它还是相当不错的。