Eu tenho um servidor com um botão de energia com defeito que gosta de se reiniciar. Normalmente, existem sinais de alerta, como o arquivo de log acpid em / var / log inicia o envio de spam por cerca de 10 horas ou mais.
Existe uma maneira fácil de eu ter algo para monitorar o log acpid e me enviar um email quando houver uma nova atividade?
Eu não me consideraria extremamente avançado, de modo que quaisquer "guias" que você possa ter para realizar algo assim seriam muito úteis e muito apreciados. Obrigado!
Respostas:
Você poderia usar algo como o LogWatch . Ou mesmo um script simples como este (é pseudo-código que você precisará modificá-lo para o seu ambiente):
Coloque isso no cron para rodar a cada hora mais ou menos e você deve receber um e-mail informando quando está ficando estranho.
fonte
Você pode usar o OSSEC HIDS para configurar regras nos arquivos de log e, ao mesmo tempo, obter informações de segurança do seu host.
A configuração é muito fácil:
/var/ossec/rules/local_rules.xml
conforme especificado abaixo/var/ossec/bin/ossec-control start
local_rules.xml
As regras podem ser muito flexíveis e complexas. Consulte esta tabela para ter uma idéia dos parâmetros envolvidos em uma regra.
Se você não quiser ou precisar dos outros recursos de segurança, poderá desativá-los removendo as
include
linhas sob arules
tag.fonte
Sugiro que o Nagios seja o que executamos, onde trabalho para monitorar várias máquinas com sua rede. É muito bom, eu não o usei especificamente para o que você está fazendo, mas você certamente pode configurá-lo para enviá-lo por e-mail quando ocorrerem erros.
Há um guia aqui para instalá-lo no Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ e um aqui para instalar no http: //www.debianhelp. co.uk/nagiosinstall.htm .
fonte
E você pode enviá-lo com algo assim:
fonte
Estou usando o Zabbix com ferramentas IPMI para reiniciar servidores com defeito sob demanda. Além disso, acho que o OSSEC também é uma boa escolha, mas você realmente precisa experimentar e depurar antes de colocá-lo em produção ...
fonte
Baixe e instale o Splunk no servidor. É semelhante ao logwatch, mas fornece um mecanismo de pesquisa para seus logs.
Você pode configurá-lo para indexar seus logs, pode pesquisar os logs e encontrar padrões, encontrar os erros e depois ver o que outros logs estão fazendo naquele ponto específico de falha.
Também pode ser configurado para enviar alertas ou executar scripts em determinados limites. Portanto, se um erro específico começar a ser enviado como spam para o seu log, você poderá criar um script para reiniciar automaticamente o serviço incorreto.
Usamos splunk em nosso cluster de servidores e isso salvou a vida!
fonte
Em um empregador anterior, usamos o logsurfer + para monitorar logs em tempo real e enviar alertas por email. Demora muito tempo e configuração para sintonizar falsos positivos, mas tínhamos um conjunto de regras que funcionava muito bem para uma variedade de descobertas e alertas, muito mais valioso do que Nagios para fins semelhantes.
Infelizmente, não tenho mais acesso ao arquivo de configuração para fornecer amostras do que filtramos, mas o site deve fornecer mais informações e exemplos.
fonte
Você também pode dar uma olhada no meu projeto Octopussy .
fonte