使用Swatch做Linux日志分析
泉源:http://www.fineacer.com/
目次:
一. 预备
二. 安装
三. 配置
四. 利用
五. 更多
日志文件是我们发现体系题目的重要参考信息. 大部分的体系服务出现题目时
都会给syslogd(体系日志守护历程)发送消息. 然后用户觉察并凭据错误提示
信息接纳行动. 然而对于1000行以上的日志文件, 我们必需利用日志查抄东西
节省时间和制止漏失重要信息.
Swatch从字面上可以简单理解为Watcher(守护者). 其它的日志分析软件定期地
扫描日志文件, 向你陈诉体系已经发生的题目或者状态. Swatch步伐不仅能够
做这些, 而且它能够像Syslogd守护步伐那样主动的扫描日志文件并对特定的
日志消息接纳修复行动.
一. 预备
1. 下载息争紧缩最新的Swatch软件包.
建议从Swatch的官方网站得到可靠的Swatch软件包.
下载网址: http://sourceforge.net/projects/swatch/
1) 创立Swatch软件包寄存的目次.
#mkdir -p /usr/local/src/log
2) 解紧缩源代码包, 在log目次下会天生一个新的目次apache_1.3.33
#tar zpxf swatch-3.1.1.tar.gz
二. 安装
#cd swatch-3.1.1
#make
#make test
#make install
#make realclean
Swatch步伐安装乐成后, Perl模块将会用于Swatch步伐的运转.
--------------------------------------------------------------------------------
三. 配置
Swatch步伐利用正向表达式(Regular Expressions)来发现感兴味的目标行. 一旦
Swatch发现某一行匹配预设定的形式, 它会立即接纳行动, 好比说屏幕打印, 发送
电子邮件, 或者接纳用户预先设定的行动.
watchfor /[dD]enied│/DEN.*ED/
echo bold
bell 3
mail
exec "/etc/call_pager 5551234 08"
上面的剧本是Swatch配置文件一个部分的例子. 首先Swatch在指定的日志文件中
探求包罗设定单词"denied, Denied, 或者其它以DEN开始或者以ED竣事的单词的
行. 一旦搜刮到某行包罗三个搜刮单词中的任何一个. Swatch步伐立即向终端
表现粗体行和响铃三下, 然后发送电子邮件给运转swatch步伐的用户(通常是
root用户)警报地点行和执行/etc/call_paper步伐, 纰漏sendmail, fax,
unimportant stuff. 在这个例子当中, 搜刮字符串sendmail, fax和unimportant
stuff将被纰漏. 乃至他们切合预定搜刮字符串中的一个.
四. 利用
利用Swatch十分的简单, 如通常利用Swatch查抄日志, 运转:
swatch --config-file=/home/zhaoke/swatch.conf
--examine=/var/log/messages
上面的例子中配置文件地点的体系相对路径是/home/zhaoke/swatch.conf, 需要
查抄的日志文件是/var/log/messages.
利用swatch查抄不段增加的日志文件:
swatch --config-file=/home/zhaoke/swatch.conf
--tail-file=/var/log/messages
五. 更多
关于作者: 赵珂, 操作体系研讨和宁静工程师.
zhaoke.net是作者的个人网站. 欢迎技术交换以及链接互换.
原文来由: http://zhaoke.net/articles/general/2005-02-04.shtml
版权声明: 援用或转载, 请注明作者与来由. 并请保留本文的毗连.
若有题目或错误请提交到:
http://zhaoke.net/os/forum.php?do=viewtopic&cat=2&topic=5
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
