我想创建一个运行 chkrootkit 的 cron 作业,但只在结果为正(无论是否为负)时通过电子邮件将结果日志发送给我。chkrootkit 常见问题解答给出了以下建议:
0 3 * * * (cd /path/to/chkrootkit; ./chkrootkit 2>&1 | mail -s "chkrootkit output" root)
...但我运行一个包含 100 多个节点的 HPC 集群。我只希望它在检测到需要我注意的事件时发送日志。
我该如何做呢?
答案1
来自自述:
输出消息
chkrootkit在测试期间会打印以下消息(和
-x命令选项除外):-q“
INFECTED”:测试发现一个可能被已知 rootkit 修改的命令;
...
因此,编写一些小脚本来运行chkrootkit并将输出重定向到临时文件,解析临时文件中的字符串“ INFECTED”,如果找到,则发送一封包含相关信息的电子邮件以识别主机并将该临时文件添加为附件,删除临时文件。