我发现这些syslogd的解决scheme发送电子邮件在某些事件,如local0.crit或local1.err 我怎样才能使syslogd电子邮件特定的日志消息给我? http://www.johnandcailin.com/blog/john/how-setup-real-time-email-notification-critical-syslog-events 但是,我的系统在systemd上运行,因此使用日志进行系统日志的目的。 我怎样才能实现基于事件的电子邮件没有一个cron运行,每5分钟检查所有日志,并将日志发送到一个地址或类似?
通常我的用户要求我负责了解事件是否发生。 我一直都必须用cron'ed shell脚本和大量的date边界案例testing来构build自定义和脆弱的解决scheme。 集中采伐应该允许有一个更好的,更易于维护的方法来掌握过去N小时内没有发生的事情。 像logstash注意和nagios警报。 更新 被推翻的回答非常有帮助。 O(Light。Bulb。)我现在有十几个批处理作业正在进行新鲜度检查。 我想彻底回答正义,并跟进我如何实现他的想法。 我configurationjenkins发出系统日志,logstash捕获它们并通过nsca发送状态更新给nagios。 我也使用check_mk保持一切干燥和组织在Nagios。 Logstashfilter :::ruby filter { if [type] == "syslog" { grok { match => [ "message", '%{SYSLOGBASE} job="%{DATA:job}"(?: repo="%{DATA:repo}")?$', "message", "%{SYSLOGLINE}" ] break_on_match => true } date { match => [ "timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] } } } 神奇的是grok的匹配参数中的双模式,以及break_on_match => true。 […]
我们有一个vps运行的Ubuntu 10.04.4 LTS,并试图find一个解决scheme的PHP问题,我已经意识到什么看起来像一个问题,系统日志系统 – 我不知道。 syslog.conf文件如下所示: auth,authpriv.* -/var/log/auth.log *.*;auth,authpriv.none -/var/log/syslog #cron.* -/var/log/cron.log daemon.* -/var/log/daemon.log kern.* -/var/log/kern.log lpr.* -/var/log/lpr.log mail.* -/opt/psa/var/log/maillog user.* -/var/log/user.log # # Logging for the mail system. Split it up so that # it is easy to write scripts to parse these files. # mail.info -/var/log/mail.info mail.warning -/var/log/mail.warn mail.err -/var/log/mail.err # Logging for […]
有人可以在这里做一个体面的情况: 我想使用系统日志,所以日志logging是集成的,所以我可以根据严重性等指导日志旋转,但同时我喜欢有一个专门的日志文件为我的应用程序的想法,所以如果有问题,你可以轻松查看与应用程序有关的信息,而不必进行任何过滤。 logging到专用文件和系统日志似乎是多余的。 有人可以说服我使用一个或另一个,或两者兼而有之。 谢谢
我最近被“升级”到实验室pipe理员,因为我有最多的Linux经验。 我的logcheck不断向我发送带有数百行源自我的syslog文件的电子邮件。 它会重演,每次都会有轻微的变化。 我不知道是什么想告诉我。 有任何想法吗? 这里有一个重复的片段: Aug 23 15:02:30 157-london kernel: [8747161.509412] ————[ cut here ]———— Aug 23 15:02:30 157-london kernel: [8747161.509416] WARNING: at /build/buildd-linux-2.6_2.6.32-45-amd64-FcX7RM/linux-2.6-2.6.32/debian/build/source_amd64_none/fs/fs-writeback.c:588 writeback_inodes_wb+0x36b/0x4ff() Aug 23 15:02:30 157-london kernel: [8747161.509419] Hardware name: Precision WorkStation 380 Aug 23 15:02:30 157-london kernel: [8747161.509421] Modules linked in: nls_utf8 cifs xt_multiport nfsd nfs lockd fscache nfs_acl auth_rpcgss […]
我有一个负载平衡器前端的Linux服务器集群,它每5秒探测一次服务器,以确定它是否在运行。 这些探针会在日志中产生大量无用的噪音,而且我不想让他们logging下来。 有没有办法阻止rsysloglogging特定的事件?
寻找人们认为是集中式系统日志服务器浏览网页的最佳select。 我也打开使用任何系统日志服务器。 编辑 我实际上去了GrayLog2
我们有几个应用程序正在生成自己的纯文本日志文件,我想转发到远程syslog服务器进行集中式日志logging。 我没有权限访问这些机器,也不能重新configurationsyslog以将输出redirect到远程机器。 我已经在网上find了一些解决scheme,但是他们大多是人们自制的bash脚本,而且我正在寻找更适合在潜在大批量生产环境中实施的更强大的function。 最好是devise一个小脚印的眼睛,保持运行的背景守护进程,可以跟上很多线条等。 – 目前有哪些解决scheme可用?
我一直在看RFC5424来查找正式指定的标记,这将结束syslog事件。 不幸的是我找不到它。 所以,如果我想实现一些小的系统日志服务器,对某些消息作出反应什么是结束消息的标记(是的,事件通常是一条线,但我只是无法在规范中find它) 澄清 : 我把它称为事件,因为我把一条消息与一条线联系起来。 事件可能是一些事情 Type: foo Source: webservers 而给我的信息是这样的: Type: foo Source: webservers http://tools.ietf.org/html/rfc5424#section-6定义: SYSLOG-MSG = HEADER SP STRUCTURED-DATA [SP MSG] STRUCTURED-DATA和MSG都不能告诉我这些字段是如何结束的。 特别是MSG被定义为MSG-ANY / MSG-UTF8 ,它几乎扩展到任何东西。 没有什么说一个换行标志着结束(或一个8或一个这个问题)。 给出示例消息(6.5节): 这是一个有效的消息,或者2个有效的消息,取决于你说任何MSG元素中都不能出现HEADER元素: 文字空白 <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su – ID47 – <34>1 2003-10-11T22:14:15.003Z mymachine.example.com su – ID47 | is this an end marker? \t代表一个标签 <34>1 2003-10-11T22:14:15.003Z […]
如BSD系统日志协议所描述的,多年的系统pipe理员留下了系统日志的严重级别 ,这在我的脑海中显然是印象深刻的。 您了解演练:紧急,警报,严重,错误,警告,通知,信息和debugging。 这在其他地方留下了痕迹,如Java的logging器,其严重,警告,信息,configuration,精/ r / st。 在和人讨论这个问题的时候,我觉得Java是一个很快的黑客,一个不合适的事情,并且讲述了这个想法,我想知道这个实际上有多大 – 系统日志可以追溯到80年代的Sendmail。 快速search显示,REXX有终止,严重,错误,警告,信息和响应,这似乎证实了我的怀疑。 我相信它起源于现实世界,可能是以军队或火车公司的程序为起点,听说它会很有趣,但是我非常想知道严重程度的起源和谱系,在计算机业务中过滤“随附”的概念。