Linux下常用日志分析工具
Linux下常用日志分析工具
?
Logcheck簡介
對于擁有大量賬戶、系統繁忙的Linux系統而言,其日志文件是極其龐大的,很多沒有用的信息會將值得注意的信息淹沒,給用戶分析日志帶來了很大的不便。現在有一些專門用于分析日志的工具,如Logcheck和Friends。Logcheck用來分析龐大的日志文件,過濾出有潛在安全風險或其他不正常情況的日志項目,然后以電子郵件的形式通知指定的用戶。它是由Psionic開發的。
?
對于擁有大量賬戶、系統繁忙的Linux系統而言,其日志文件是極其龐大的,很多沒有用的信息會將值得注意的信息淹沒,給用戶分析日志帶來了很大的不便。現在有一些專門用于分析日志的工具,如Logcheck和Friends。
?
Logcheck用來分析龐大的日志文件,過濾出有潛在安全風險或其他不正常情況的日志項目,然后以電子郵件的形式通知指定的用戶。它是由Psionic開發的,可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下載。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。
?
該程序的安裝相當方便。解壓后運行make文件,按照它的提示選擇操作系統的類型以后就能編譯完成了。配置文件和運行腳本默認安裝在/usr/local/etc/下。
?
logcheck.sh
這是Logcheck的shell腳本,用于分析本次的日志文件并匯報結果。
?
logcheck.hacking
這個文件設置在日志文件中過濾的關鍵字,該關鍵字提示了潛在安全風險的信息。用戶可以定制自己的日志文件,在logcheck.hacking文件中增加或刪除關鍵字。
?
logcheck.violations
這個文件設置在日志文件分析過濾系統運行時出現異常情況的關鍵字。
?
logcheck.violations.ignore
如果系統出現異常情況,但含有此文件中的關鍵字,則視為正常,不寫入Logcheck的分析報告文件中。
?
logcheck.ignore
如果系統日志文件記錄了可能遭遇***的消息,但含有logcheck.ignore文件中的關鍵字,則Logcheck視為正常,在分析報告文件中不包含這些消息。
?
安裝完Logcheck后,還要修改logcheck.sh文件中的參數以符合用戶的要求。有兩點值得注意。
?
下列命令:
# Person to send log activity to.
SYSADMIN=root
?
Logcheck默認將報告發給root。如果要發給指定的電子郵箱,改動這里就可以了。如果希望將報告發給多個用戶,可以定義mail的別名。
?
要檢查的日志文件的設置:
# Linux
$LOGTAIL /var/log/syslog > $TMPDIR/check.$$
$LOGTAIL /var/log/messages >> $TMPDIR/check.$$
?
用戶可以根據需要加上要檢查的日志文件,例如:
$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$$
$LOGTAIL /var/log/mail.log >> $TMPDIR/check.$$
?
最后用cron安排服務器自動定時重復執行logcheck.sh腳本文件。
總結
以上是生活随笔為你收集整理的Linux下常用日志分析工具的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Falcon 快速开始
- 下一篇: linux监控脚本