您好我做了PowerShell脚本,我正在采取三个论据(在参数块),并将它们作为parameter passing给-FilterXPath。 但是我无法得到结果。 $事件ID = 7036 $服务名称= PW $状态=停止 它给了我正确的结果,如果我把值而不是variables。 请帮忙。 这是非常紧急的。 param($eventID,$ServiceName,$Status) $eventID | add-content "path\hello.txt" $ServiceName | add-content "path\hello.txt" $Status | add-content "path\hello.txt" sleep 5 $ErrorTime=Get-WinEvent -LogName 'System' -FilterXPath 'Event[System[EventID=$(eventID)] and EventData[Data[@Name="param1"]="$(ServiceName)" and Data[@Name="param2"]="$(Status)" ]]' -MaxEvents 1 | select -expand timecreated $ErrorTime | add-content "path\hello.txt"
我正在摆弄mod_security来为特定的URIloggingPOST请求的有效载荷。 正如在这个回应https://serverfault.com/a/729079/292993中提到的一个类似的问题mod_security的AuditEngine的工作原理是这样的: 它也将login到AuditEngine,具体取决于您的SecAuditEngine值设置为: 如果将SecAuditEngine设置为On,则将所有内容都logging到审计日志中,而不需要上述规则。 这会快速填充日志文件,因此不推荐使用。 如果您将SecAuditEngine设置为RelevantOnly,那么只会将日志logging到审计引擎以获取某些返回码(由您的SecAuditLogRelevantStatus定义)。 这通常只对错误(5xx)或访问被拒绝(4xx – 尽pipe通常没有404)来完成。 由于您不拒绝访问(大概不会希望!),这不会被logging到审计日志。 如果SecAuditEngine设置为Off,则永远不会将其logging到审计日志中。 通常最好将SecAuditEngine设置为RelevantOnly(我怀疑这是你已经拥有的)。 正确的方法是使用ctl action给出的其他规则: SecRule REQUEST_METHOD "POST" "id:22222224,phase:2,ctl:auditEngine=On,log,pass" 这会强制AuditEngine处于发送请求的状态 – 即使请求成功,通常不会被logging。 记住这一点,如果我必须使用ctl来根据请求级别打开AuditEngine以将某些内容logging到审计日志,那么操作auditlog有什么意义?
我试图设置mod_security来logging特定URI的POST请求负载,因为看起来客户网页被用作垃圾邮件中继,并且这些请求会破坏服务器端caching。 我是从这个博客文章开始的,但看起来很老旧。 它不适用于我们的环境,这是Apache 2.4和mod_security 2.8。 所以我通过这个serverfault的答案增强了这个configuration。 在相关的vhostconfiguration里,mod_security是这样configuration的: <IfModule security2_module> SecRuleEngine On SecAuditEngine RelevantOnly SecAuditLog logs/audit.log SecRequestBodyAccess On SecAuditLogParts ABCFHJKZ SecDefaultAction "phase:2,nolog,noauditlog,pass" SecRule REQUEST_METHOD "^POST$" "id:'1234',phase:2,chain,allow,ctl:auditEngine=On" SecRule REQUEST_URI "^\/en\/us\/$" </IfModule> 结果是每个POST请求都被logging到审计日志中。 但是只有到主页https://<SITE>/en/us/的POST请求应该被logging。 在我的理解,这应该通过链接到第二个SecRule匹配请求URI对给定的正则expression式。 我也试过不同版本的正则expression式,但没有成功。
我有一个运行Tomcat7的CentOS( CentOS release 6.7 (Final) )服务器。 我用yum运行了一些更新,现在Tomcat不会重新启动。 etc/rc.d/init.d/tomcat restart Stopping tomcat: [FAILED] Starting tomcat: [FAILED] 我看了/etc/tomcat/logs/ ,但是没有日志。 我最不希望的/etc/tomcat/logs/tomcat-initd.log在那里。 Tomcat会在哪里login?
最近,我的专用服务器在星期天冻结了大约50分钟。 它没有回应ping或任何命令。 最后,托pipe公司很难重启,一切正常。 我已经挖掘了两天的日志,但是我没有发现任何exception,除了我的日志在10:55和11:40之间停止。 所以,也许我没有find正确的地方,也许我没有logging一些重要的信息。 这导致我的问题, 我怎么知道为什么我的专用服务器冻结或坠毁? 我应该logging什么,我应该在哪里看,我应该运行一些testing? 我的服务器正在运行一个Debian(Jessie)8.3,但是我省略了这个信息,因为我更喜欢一个“通用”的答案,可以用于任何类Unix操作系统。 而且,这个问题可能有点太宽泛,我意识到这一点,如果是的话,我表示歉意。
我正在使用一个logstash插件为Java应用程序使用logback转发login到我的logstash服务器。 我已经设置了如下的filter定义: input { tcp { port => 2856 codec => json_lines } } filter { mutate { convert => { "tenantId" => "integer" "userId" => "integer" } } } 使用以下configuration将日志转发到Elasticsearch: output { elasticsearch { hosts => ["127.0.0.1:9200"] user => "user" password => "secure" } } 索引只是logstash-,当我检查Elasticsearch中的映射时,我看到以下内容: "logstash-2016.04.25" : { "mappings" : { "logs" : […]
我是Logwatch的新手,并且设置它来监视由Python世界中stream行的分布式任务队列celery创build的日志文件。 我的logwatch.conf“范围”被设置为“昨天凌晨4点到今天凌晨4点之间”,这个范围filter适用于其他日志文件 – 但它不适用于我的芹菜日志文件。 这是我的设置: /etc/logwatch/conf/services/celery.conf Title = "Celery worker errors" LogFile = celery /etc/logwatch/conf/logfiles/celery.conf LogFile = /var/log/208-celery.log LogFile = /var/log/234-celery.log LogFile = /var/log/403-celery.log LogFile = /var/log/dev-celery.log 在/ etc / logwatch /脚本/服务/芹菜 #!/bin/bash cat 看起来问题就在于使用cat作为filter – 显然不是过滤任何date,只是通过celerry日志文件的行。 我知道logwatch有一些内置的date格式filter,但我不清楚如何应用它们,也不知道它们中的任何一个是否适合芹菜日志的格式,如下所示: [2016-04-26 11:59:37,851: WARNING/MainProcess] celery@big-dog ready. [2016-04-26 11:59:37,852: DEBUG/MainProcess] | Worker: Hub.register Pool… [2016-04-26 11:59:37,852: DEBUG/MainProcess] basic.qos: prefetch_count->16 […]
我正在尝试使用POP而不是IMAP访问我们的OSX 10.6.8邮件服务器的用户的运行logging。 “服务器pipe理”应用程序在“连接”选项卡下具有运行的邮件连接列表。 这包括用户名,发起IP地址,连接长度,types(IMAP / POP)和总体连接数。 但是,应用程序似乎不支持logging这些连接,并且mail.log仅显示消息事务,而不是客户端login(并且在设置中没有明确的选项来跟踪此数据)。 有谁熟悉一个简单的方法来跟踪服务器端的POP连接? 我想创build一个这些用户的列表,以便他们可以迁移到IMAP,但远远没有视觉监视“连接”窗口,似乎没有一个明显的方式来这样做。
假设一个stream行的VPS提供商托pipe一个单独的网站与Nginx,Apache和WordPress / PHP的Ubuntu 14.04服务器设置,启动服务器后,它工作很好一段时间。 几天之后,VPS提供商将服务器显示为100%的CPU利用率,SSH访问不再可以连接(超时),网站变得无法访问。 在服务器达到100%的CPU利用率之前,可以通过SSH访问服务器而不会出现问题。 服务器上几乎没有任何负载会导致CPU使用 – 通常CPU使用的范围小于3%。 我怎样才能诊断哪个进程导致CPU使用突然飙升而不能进入shell? 目前,当发生这种情况时,服务器重新启动,然后再运行几天。 当然,虽然ClamAV没有发现任何潜在的病毒,但怀疑有病毒或其他恶意软件。
如果我已经知道客户IP,我知道有/var/log/dnsmasq.log ,它包含日志,如 Jun 13 12:22:42 dnsmasq-dhcp [499]:DHCPACK(wlan0)172.24.1.110 34:12:98:11:80:bd ones-iPad Jun 13 13:19:44 dnsmasq-dhcp [499]:DHCPDISCOVER(wlan0)d4:97:32:61:4f:73 Jun 13 13:19:44 dnsmasq-dhcp [499]:DHCPOFFER(wlan0)172.24.1.82 d4:97:0b:61:4f:23 Jun 13 13:19:44 dnsmasq-dhcp [499]:DHCPREQUEST(wlan0)172.24.1.82 d4:97:9f:61:4f:73 Jun 13 13:19:44 dnsmasq-dhcp [499]:DHCPACK(wlan0)172.24.1.82 d4:97:0b:23:4f:73 android-ef9f423f7ecaca3c 在路由器中 这样,我们可以每次parsing日志来查看最新的MAC地址。 但是我们能不能每次parsing这个长大的文件都知道客户端的mac是什么。 它拖拽了CPU。 谢谢! 更新 我发现另一个地方包含它 cat /var/lib/misc/dnsmasq.leases 仍然是一个文件。 或者我必须每次parsing文件?