你会使用Splunk吗？

安装logcheck包。 它会每小时扫描一次日志，并通过电子邮件发送任何不正常的信息。 本质上，它会通过电子邮件发送任何在最后一个小时内input日志的信息，因为它没有忽略的规则。 还有更多的攻击规则，不包括不应该在日志中的东西。 电子邮件的主题行取决于事情的原因。

我通常为它创build一个本地忽略文件，因为我发现了一些我认为正常的事情，但没有现有的忽略规则。

各种系统日志的select都支持服务器合并，因此您可以将日志转发到单个服务器。 但是，我从来没有这样做的习惯。 我转发的唯一系统是我的OpenWRT防火墙。

编辑：我在工作中使用Splunk来search日志文件，但如果我知道我正在寻找的特定日志，我更可能使用较less。 它具有警报function，但我们不使用它们。 我希望他们会提高对一个已知的logging匹配。 如果在没有警报规则的情况下出现新问题，这可能会导致大量的错误否定。 我喜欢从logcheck得到误报。 尽pipeSplunk可能在警报上有更好的及时性。

我确实会及时收到来自fail2ban的引发事件的警报。 它还维护原始来源的黑名单条目。

还有一件事要补充。 我们公司最近考虑收购Splunk。 我们肯定有超过500MB的日志分析，我们发现他们的授权模式是非常昂贵的。 Splunk利用了他们的知名度和多年来的价格缓慢上涨的优势。 当我们在两年前第一次看到它时，免费的限制是1GB，许可费是现在的一半。

Splunk是一个神奇的工具，但在目前的价格，我会认真考虑替代恕我直言。

Splunk与cPanel并不在同一类别的软件中。 从我记得的cPanel是一个基于Web的系统pipe理包。 Splunk是一个数据分析和警报工具。

这就是说，根据我们的网站：

“免费下载Splunk，您将获得Splunk的所有企业function60天，每天可以索引500兆字节的数据.60天之后或之前的任何时间，您都可以转换为永久免费许可或购买企业许可证以继续使用为多用户企业部署而devise的扩展function。“

足以说，您可以在大多数平均规模的系统日志数据集上免费下载和使用Splunk。

至于诊断服务器何时受到攻击，这就是Splunk可以满足您的需求的地方。 看看我的博客文章从今天我向你展示如何设置iPhone的警报，当有人企图以无效的凭据login到您的服务器。

http://blogs.splunk.com/2010/08/16/how-to-use-notifo-to-receive-splunk-alerts-on-your-iphone/

如果您有任何其他问题或希望获得我们产品的扩展演示许可，请随时给我回电。

我使用并强烈推荐http://papertrailapp.com用于远程系统日志。 当你build立你的警报和searchfilter的惊人和便宜！

我们使用Splunk来处理这种事情… Windows和Linux主机都将其日志转发给Splunk，并且在splunk中会有一些“保存的search”来生成警报。 使得可以在所有用户名和系统中检测诸如“在过去30分钟内超过X次login失败”的事情（保存的search是复杂的，但是为了捕获Windows，Linux系统和各种应用程序…）。 现在search日志也很棒。

Splunk可以免费获得足够小的数据集。

您需要根据您每天发送给Splunk的数据量，要保留多less以及要进行多lesssearch来适当扩展服务器。 否则，它可能会停滞。

在Splunk之前，我们曾经在系统日志服务器上使用SEC ，并将所有日志转发给它。 更难以编写保存的search，并没有真正做任何事情来替代grepsearch事实后的事实。 不过还是挺不错的。