Logs de monitor Linux e alertas de email?

Eu tenho um servidor com um botão de energia com defeito que gosta de se reiniciar. Normalmente, existem sinais de alerta, como o arquivo de log acpid em / var / log inicia o envio de spam por cerca de 10 horas ou mais.

Existe uma maneira fácil de eu ter algo para monitorar o log acpid e me enviar um email quando houver uma nova atividade?

Eu não me consideraria extremamente avançado, de modo que quaisquer "guias" que você possa ter para realizar algo assim seriam muito úteis e muito apreciados. Obrigado!

Você poderia usar algo como o LogWatch . Ou mesmo um script simples como este (é pseudo-código que você precisará modificá-lo para o seu ambiente):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Coloque isso no cron para rodar a cada hora mais ou menos e você deve receber um e-mail informando quando está ficando estranho.

Você pode usar o OSSEC HIDS para configurar regras nos arquivos de log e, ao mesmo tempo, obter informações de segurança do seu host.

A configuração é muito fácil:

• Faça o download da fonte
• Descompacte e execute ./install.sh
• Escolha instalação local
• Responda às perguntas (email, cheques etc.)
• Edite /var/ossec/rules/local_rules.xmlconforme especificado abaixo
• Inicie o OSSEC com /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

As regras podem ser muito flexíveis e complexas. Consulte esta tabela para ter uma idéia dos parâmetros envolvidos em uma regra.

Se você não quiser ou precisar dos outros recursos de segurança, poderá desativá-los removendo as includelinhas sob a rulestag.

Sugiro que o Nagios seja o que executamos, onde trabalho para monitorar várias máquinas com sua rede. É muito bom, eu não o usei especificamente para o que você está fazendo, mas você certamente pode configurá-lo para enviá-lo por e-mail quando ocorrerem erros.

Há um guia aqui para instalá-lo no Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ e um aqui para instalar no http: //www.debianhelp. co.uk/nagiosinstall.htm .

E você pode enviá-lo com algo assim:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" [email protected]
rm -f $EMAILMGS

Estou usando o Zabbix com ferramentas IPMI para reiniciar servidores com defeito sob demanda. Além disso, acho que o OSSEC também é uma boa escolha, mas você realmente precisa experimentar e depurar antes de colocá-lo em produção ...

Baixe e instale o Splunk no servidor. É semelhante ao logwatch, mas fornece um mecanismo de pesquisa para seus logs.

Você pode configurá-lo para indexar seus logs, pode pesquisar os logs e encontrar padrões, encontrar os erros e depois ver o que outros logs estão fazendo naquele ponto específico de falha.

Também pode ser configurado para enviar alertas ou executar scripts em determinados limites. Portanto, se um erro específico começar a ser enviado como spam para o seu log, você poderá criar um script para reiniciar automaticamente o serviço incorreto.

Usamos splunk em nosso cluster de servidores e isso salvou a vida!

Em um empregador anterior, usamos o logsurfer + para monitorar logs em tempo real e enviar alertas por email. Demora muito tempo e configuração para sintonizar falsos positivos, mas tínhamos um conjunto de regras que funcionava muito bem para uma variedade de descobertas e alertas, muito mais valioso do que Nagios para fins semelhantes.

Infelizmente, não tenho mais acesso ao arquivo de configuração para fornecer amostras do que filtramos, mas o site deve fornecer mais informações e exemplos.

Você também pode dar uma olhada no meu projeto Octopussy .