Logs de monitor Linux e alertas de email?

13

Eu tenho um servidor com um botão de energia com defeito que gosta de se reiniciar. Normalmente, existem sinais de alerta, como o arquivo de log acpid em / var / log inicia o envio de spam por cerca de 10 horas ou mais.

Existe uma maneira fácil de eu ter algo para monitorar o log acpid e me enviar um email quando houver uma nova atividade?

Eu não me consideraria extremamente avançado, de modo que quaisquer "guias" que você possa ter para realizar algo assim seriam muito úteis e muito apreciados. Obrigado!

Physikal
fonte
Alterar o botão liga / desliga e / ou o servidor é uma solução plausível?
Meetai.com

Respostas:

19

Você poderia usar algo como o LogWatch . Ou mesmo um script simples como este (é pseudo-código que você precisará modificá-lo para o seu ambiente):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Coloque isso no cron para rodar a cada hora mais ou menos e você deve receber um e-mail informando quando está ficando estranho.

Zypher
fonte
1
O logwatch funciona muito bem para mim.
219 J.Zimmerman
3
O problema com este roteiro é que ele irá enviar o mesmo erro repetidamente até que o arquivo fica rodada
chmeee
No Ubuntu / Debian, o logwatch pode ser instalado com: aptitude install -y logwatch
Meetai.com
8

Você pode usar o OSSEC HIDS para configurar regras nos arquivos de log e, ao mesmo tempo, obter informações de segurança do seu host.

A configuração é muito fácil:

  • Faça o download da fonte
  • Descompacte e execute ./install.sh
  • Escolha instalação local
  • Responda às perguntas (email, cheques etc.)
  • Edite /var/ossec/rules/local_rules.xmlconforme especificado abaixo
  • Inicie o OSSEC com /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

As regras podem ser muito flexíveis e complexas. Consulte esta tabela para ter uma idéia dos parâmetros envolvidos em uma regra.

Se você não quiser ou precisar dos outros recursos de segurança, poderá desativá-los removendo as includelinhas sob a rulestag.

chmeee
fonte
3

E você pode enviá-lo com algo assim:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" [email protected]
rm -f $EMAILMGS
Sapato
fonte
3

Estou usando o Zabbix com ferramentas IPMI para reiniciar servidores com defeito sob demanda. Além disso, acho que o OSSEC também é uma boa escolha, mas você realmente precisa experimentar e depurar antes de colocá-lo em produção ...

edomaur
fonte
3

Baixe e instale o Splunk no servidor. É semelhante ao logwatch, mas fornece um mecanismo de pesquisa para seus logs.

Você pode configurá-lo para indexar seus logs, pode pesquisar os logs e encontrar padrões, encontrar os erros e depois ver o que outros logs estão fazendo naquele ponto específico de falha.

Também pode ser configurado para enviar alertas ou executar scripts em determinados limites. Portanto, se um erro específico começar a ser enviado como spam para o seu log, você poderá criar um script para reiniciar automaticamente o serviço incorreto.

Usamos splunk em nosso cluster de servidores e isso salvou a vida!

Amish Geek
fonte
+1 no Splunk parece muito bom. Vou tentar mais tarde hoje à noite.
58877 Mark Davidson
1

Em um empregador anterior, usamos o logsurfer + para monitorar logs em tempo real e enviar alertas por email. Demora muito tempo e configuração para sintonizar falsos positivos, mas tínhamos um conjunto de regras que funcionava muito bem para uma variedade de descobertas e alertas, muito mais valioso do que Nagios para fins semelhantes.

Infelizmente, não tenho mais acesso ao arquivo de configuração para fornecer amostras do que filtramos, mas o site deve fornecer mais informações e exemplos.

jtimberman
fonte
0

Você também pode dar uma olhada no meu projeto Octopussy .

sebthebert
fonte