什么是一些好的工具来监视系统上的日志? 我目前使用logsentry,它基本上只运行grep日志,忽略正则expression式,我告诉它忽略,并邮寄给我一切,但我想find一些有点'更聪明',(即可以明白什么Postfix的日志不仅仅是一系列的思路,诸如此类的背景知识)。
在服务上,不运行任何特别的东西 – apache,memcached,postgres,postfix,openssh,squid,bind,mailman。 关于最奇怪的事情是单调的 ,我不希望任何日志分析器支持(因此,如果很容易扩展和理解附加服务将是很好的)。
可以parsing和汇总每小时或每天的报告中的信息(例如,在这个apache日志文件中报告的15 404个,这个用户从这个用户发送的x,y和z的5个邮件,用户,磁盘X已满90%,3000次来自这些随机IP的失败ssh尝试等)将是理想的。
我已经浏览了几个Unix日志监控工具的列表,但是其中大部分似乎归结为tail -f或者grep 。 我希望有一些我忽略的东西。
我想到两种types的监测。 监视当前状态并在监视服务器上保存该历史logging,并且还存在监视历史logging(日志)。
您列出的一些信息并不是真正意义上的通过日志进行监控的。 例如,磁盘空间可能会更好地通过调用df命令或类似的插件来监视。 所以我会考虑这个监视当前的状态,即使你保存它的logging。
我喜欢Splunk进行日志监控,但是如果您需要它来执行免费版本的操作,则价格昂贵。 为了监控磁盘空间,如果进程正在运行,CPU使用情况等,我个人喜欢Nagios 。 我认为这两对很好。
你可能会发现这两种方法都很好,但是我不会尝试使用另一种types(例如,Nagios来监视日志),它可能会有点骇人听闻。
你可以使用Octopussy来处理你所要求的所有报告。 (除了'90%的磁盘已满',Kyle说可能更好的监视像Nagios , Zabbix这样的系统监视器…)
Octopussy是一个日志pipe理解决scheme:
使用Octopussy ,您可以“轻松”从任何日志创build任何您想要的报告。 (可能不是那么容易,因为你需要一些工作来定义日志模式和报告,但是在第一个工作之后真的很强大)
免责声明:我在Octopussy工作。
你想要的是OSSEC,认真。 它使logsentry,logwatch和similars容易下来。
它的确如此,默认情况下,使用日志分析(或基于日志的入侵检测,就像他们所称的那样)检测Web扫描,暴力以及许多问题。
试试吧,这是最简单的安装工具(只需运行他们的install.sh脚本)并享受。
链接: http : //www.ossec.net
我相信在Debian和Redhat上安装并运行的Logwatch,您正在寻找许多报告。 我期望有很多与你从logsentry中得到的重叠。 出于某种原因,Redhat上的logwatchconfiguration会产生大量的卷(尤其是samba日志),这使得它更加无用,而Debian的日志更加紧密。
就我个人而言,我更多地关注那些可能变得至关重要的事情。 我有cron作业来testingRAID设备是否能看到所有健康的磁盘,如果不是,请给我发电子邮件。 我使用cacti来绘制MX和SMTP服务器上的活动队列和总队列(通过在snmp上查询的shell脚本)。 同样,我每天的统计数据是在仙人掌上绘制的postfix日志。 Denyhosts阻止过多的ssh或其他服务auth失败和邮件根目录。 通过获取APC UPS的温度(使用apsupsd)并将其绘制在仙人掌中,也可以监测服务器室内温度。 仙人掌还会显示磁盘使用情况,服务器负载情况等。关于图表的好处是,它们会显示您几周或几年的趋势,否则您可能无法察觉。 例如,有多less垃圾邮件被标记或磁盘空间的趋势。 这允许将来的计划。