Registri di monitoraggio Linux e avvisi e-mail?


13

Ho un server con un pulsante di accensione difettoso a cui piace riavviarsi. Di solito ci sono segnali di avvertimento, come il file di registro acpid in / var / log inizia a spazzare spazzatura per circa 10 ore circa.

C'è un modo semplice per fare in modo che qualcosa controlli il registro acpid e mi invii un'email quando ha una nuova attività?

Non mi considero estremamente avanzato, quindi qualsiasi "guida" che potresti avere per realizzare qualcosa del genere sarebbe molto utile e molto apprezzata. Grazie!


Cambiare il pulsante di accensione e / o il server è una soluzione plausibile?
Meetai.com,

Risposte:


19

Puoi usare qualcosa come LogWatch . O anche un semplice script come questo (è un pseudo codice che dovrai modificare per il tuo ambiente):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Mettilo in cron per farlo funzionare ogni ora o giù di lì e dovresti ricevere un'email che ti informa quando sta diventando strano.


1
logwatch funziona alla grande per me.
J.Zimmerman,

3
Il problema con questo script è che invierà lo stesso errore ripetutamente fino a quando il file non viene ruotato
chmeee,

Su Ubuntu / Debian logwatch può essere installato con: aptitude install -y
logwatch

8

È possibile utilizzare OSSEC HIDS per impostare regole sui file di registro e, allo stesso tempo, ottenere informazioni sulla sicurezza dall'host.

La configurazione è molto semplice:

  • Scarica la fonte
  • Decomprimilo ed esegui ./install.sh
  • Scegli l'installazione locale
  • Rispondi alle domande (e-mail, assegni, ecc.)
  • Modifica /var/ossec/rules/local_rules.xmlcome specificato di seguito
  • Avviare OSSEC con /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

Le regole possono essere molto flessibili e complesse. Vedi questa tabella per avere un'idea dei parametri coinvolti in una regola.

Se non desideri o non hai bisogno delle altre funzionalità di sicurezza, puoi disattivarle rimuovendo le includelinee sotto il rulestag.



3

E puoi inviarlo con qualcosa del genere:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" user@domain.com
rm -f $EMAILMGS

3

Sto usando Zabbix con strumenti IPMI per riavviare i server difettosi su richiesta. Inoltre, penso che OSSEC sia anche una buona scelta, ma devi davvero sperimentare e eseguire il debug prima di metterlo in produzione ...


3

Scarica e installa Splunk sul server. È simile a logwatch, ma ti fornisce un motore di ricerca per i tuoi log.

È possibile configurarlo per indicizzare i registri, quindi è possibile cercare i registri e trovare modelli, trovare gli errori e quindi vedere cosa stanno facendo gli altri registri in quel punto specifico di errore.

Può anche essere impostato per inviare avvisi o eseguire script a determinate soglie. Quindi, se un particolare errore inizia a essere inviato al tuo registro, puoi copiarlo per riavviare automaticamente il servizio offensivo.

Usiamo splunk nel nostro cluster di server ed è stato un vero toccasana!


+1 per Splunk sembra abbastanza buono, ci proverò più tardi stasera.
Mark Davidson,

1

In un precedente datore di lavoro, abbiamo utilizzato logsurfer + per monitorare i log in tempo reale e inviare avvisi e-mail. Ci vuole molto tempo e configurazione per sintonizzare falsi positivi, ma abbiamo avuto un set di regole che ha funzionato abbastanza bene per una varietà di scoperte e avvisi, molto più prezioso di quanto Nagios fosse per scopi simili.

Sfortunatamente non ho più accesso al file di configurazione per fornire esempi di ciò che abbiamo filtrato, ma il sito dovrebbe fornire ulteriori informazioni ed esempi.


Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.