用Swatch做Linux日志分析

• 关 键 词：
• linux日志
• express
• syslog
• apache
• 电子邮件

　　Swatch程序使用正向表达式(Regular Expressions)来发现感兴趣的目标行。一旦Swatch发现某一行匹配预设定的模式，它会立即采取行动，比如说屏幕打印，发送电子邮件，或者采取用户预先设定的行动。

　　watchfor /[dD]enied│/DEN.*ED/
　　echo bold
　　bell 3
　　mail
　　exec "/etc/call_pager 5551234 08"

　　上面的脚本是Swatch配置文件一个部分的例子。首先Swatch在指定的日志文件中寻找包含设定单词"denied，Denied，或者其它以DEN开始或者以ED结束的单词的行。一旦搜索到某行包含三个搜索单词中的任何一个。Swatch程序立即向终端显示粗体行和响铃三下，然后发送电子邮件给运行swatch程序的用户(通常是root用户)警报所在行和执行/etc/call_paper程序，忽略sendmail，fax，unimportant stuff. 在这个例子当中，搜索字符串sendmail，fax和unimportant stuff将被忽略. 甚至他们符合预定搜索字符串中的一个。

　　四、使用

　　使用Swatch非常的简单，如通常使用Swatch检查日志，运行：
　　swatch --config-file=/home/zhaoke/swatch.conf
　　--examine=/var/log/messages

　　上面的例子中配置文件所在的系统绝对路径是/home/zhaoke/swatch.conf，需要检查的日志文件是/var/log/messages。

　　使用swatch检查不段增加的日志文件：
　　swatch --config-file=/home/zhaoke/swatch.conf
　　--tail-file=/var/log/messages

　　五、更多

　　关于作者: 赵珂，操作系统研究和安全工程师.
　　zhaoke.net是作者的个人网站. 欢迎技术交流以及链接交换。

　　原文出处：http://zhaoke.net/articles/general/2005-02-04.shtml

　　版权声明: 引用或转载，请注明作者与出处. 并请保留本文的连接。

　　如有问题或错误请提交到：
　　http://zhaoke.net/os/forum.php?do=viewtopic&cat=2&topic=5

【深 度 阅 读】 相 关 文 章

• 简单高效:用Swatch做Linux日志分析
• 用Swatch做Linux日志