Linux上常用的日志分析工具
逻辑简介
对于拥有大量账号、系统繁忙的Linux系统来说,其日志文件极其庞大,许多无用的信息埋没了应该关注的信息,给用户分析日志带来很大的不便。 目前有一些专门用于分析日志的工具,如Logcheck和Friends。 Logcheck用于分析大量日志文件,过滤潜在安全风险和其他缺陷的日志项目,并通过电子邮件通知指定用户。 那个是由Psionic开发的。
对于拥有大量账号、系统繁忙的Linux系统来说,其日志文件极其庞大,许多无用的信息埋没了应该关注的信息,给用户分析日志带来很大的不便。 目前有一些专门用于分析日志的工具,如Logcheck和Friends。
Logcheck用于分析大量日志文件,过滤潜在安全风险和其他缺陷的日志项目,并通过电子邮件通知指定用户。 它由Psionic开发,可下载到http://www.psionic.com/tools/logcheck-1.1.tar.gz。 或前往http://www.psionic.com/abacus/logcheck /查看是否有新版本。
这个程序的安装相当方便。 解压缩并运行make文件,然后按照说明选择操作系统类型,即可完成编译。 缺省情况下,配置文件和执行脚本安装在/usr/local/etc/下。
logcheck.sh
这是Logcheck的shell脚本,用于分析这次的日志文件并报告结果。
logcheck.hacking
此文件设置在日志文件中过滤的关键字。 该关键字指示潜在安全风险的信息。 用户可以自定义自己的日志文件,以便在logcheck.hacking文件中添加或删除关键字。
logcheck.violations
此文件用于设置运行日志文件分析过滤系统时出现异常的关键字。
logcheck.violations.ignore
如果系统出现异常,但此文件包含关键字,则视为正常,且不会写入Logcheck分析报告文件。
logcheck.ignore
如果系统日志文件中包含可能遇到***的消息,但Logcheck.ignore文件中包含关键字,则logcheck将被视为正常,并且不会包含在分析报告文件中。
Logcheck安装完成后,还将修改logcheck.sh文件中的参数以满足用户的要求。 有两点值得注意。
以下命令:
#个人发送日志活动。
SYSADMIN=root
Logcheck默认将报告发送给root。 发送到指定的邮箱地址的情况下,更改这里就可以了。 如果要将报告发送给多个用户,则可以定义mail别名。
要检查的日志文件设置:
# Linux
$ logtail/var/log/syslog $ tmpdir/check.$ $
$ logtail/var/log/messages $ tmpdir/check.$ $
用户可以根据需要添加要检查的日志文件。 例如:
$ logtail/var/log/auth.log $ tmpdir/check.$ $
$ logtail/var/log/deamon.log $ tmpdir/check.$ $
$ logtail/var/log/mail.log $ tmpdir/check.$ $
最后,使用cron将服务器安排为自动定时重复运行logcheck.sh脚本文件。