我正在尝试查看 Apache 日志中是否存在每小时发生的事件。例如,它可能是一个字符串,如:123.123.123.123 GET /backup.tar.gz
看起来现有代码没有做到这一点(查看了 swatch 和 monit)。我认为正确的解决方案是编写自己的脚本,每小时重新读取整个 apache 日志,但查看时间戳。我只是想知道解决方案是否已经存在。
答案1
我认为 SEC 可以做到这一点,但它需要实时监控。我还可以向您推荐 nxlog(免责声明:我是附属机构)来检查此类情况。这示例可以根据您的需要进行调整。另一方面,用 perl 编写这样的脚本并不复杂,但您需要考虑一些事项,以免产生误报或错过警报,一旦需要添加更多规则,您很容易就会陷入开发困境。