我正在准备一个日志看门狗,但我担心尾随总会在某个时候爆发。因此,
我关心的是始终监视日志文件以及是否发生模式匹配。
在 ubuntu 机器上发出一些命令。
尾随似乎总是不合适的解决方案。你能推荐一些其他方法吗?
答案1
我能想到的完成这项任务的最佳工具是syslog-ng
(有商业版和开源版可供选择)。
在 syslog-ng 中有几种方法可以处理这个问题,但我建议的方法是过滤您想要的消息特征,然后将消息发送到调用以program()
执行您需要的操作的目的地。
这syslog-ng 文档有更多关于此方面的详细信息,以及您使用 syslog-ng 获得的其他功能。
答案2
你应该看看Logstash。它是您的日志文件的管道,您可以在其中定义一个输入、一个(可选)过滤器和一个输出。
过滤器可以是仅当您的模式出现时才匹配的东西,然后输出通道来触发命令。
关于 logstash
logstash 是一款用于管理事件和日志的工具。您可以使用它来收集日志、解析日志并存储日志以供日后使用(例如,用于搜索)。说到搜索,logstash 附带一个 Web 界面,可用于搜索和深入查看所有日志。
答案3
您还应该考虑使用 Fail2Ban。虽然该程序专注于监控脚本以禁止潜在黑客和相关人员,但它可以轻松监控任何文本日志并根据发现的内容采取几乎任何行动。