Dzienniki monitorowania systemu Linux i powiadomienia e-mail?

Mam serwer z wadliwym przyciskiem zasilania, który lubi się restartować. Zwykle pojawiają się znaki ostrzegawcze, na przykład plik dziennika acpid w katalogu / var / log zaczyna spamować śmieci przez około 10 godzin.

Czy istnieje prosty sposób, aby coś monitorować dziennik acpid i przesyłać mi e-mailem informacje o nowej aktywności?

Nie uważałbym się za bardzo zaawansowanego, więc każdy „przewodnik”, który możesz mieć do osiągnięcia czegoś takiego, byłby bardzo pomocny i bardzo doceniany. Dziękuję Ci!

Możesz użyć czegoś takiego jak LogWatch . Lub nawet prosty skrypt taki jak ten (jest to pseudo kod, który musisz zmodyfikować w swoim środowisku):

 #!/bin/bash
 GREP_STRING=`grep -c <error string> <acpid log location>`
 if [ $GREP_STRING -ne 0 ] 
 then
    <send email notification>
 fi

Włóż to do crona, aby uruchamiał się co godzinę, a powinieneś otrzymać wiadomość e-mail z informacją, kiedy robi się dziwnie.

Możesz użyć OSSEC HIDS, aby skonfigurować reguły dla plików dziennika i jednocześnie uzyskać informacje o bezpieczeństwie od swojego hosta.

Konfiguracja jest bardzo łatwa:

• Pobierz źródło
• Rozpakuj go i uruchom ./install.sh
• Wybierz instalację lokalną
• Odpowiedz na pytania (e-mail, czeki itp.)
• Edytuj /var/ossec/rules/local_rules.xmlzgodnie z poniższym opisem
• Uruchom OSSEC za pomocą /var/ossec/bin/ossec-control start

local_rules.xml

<group name="local,syslog,">
  <rule id="100001" level="13">
    <regex>^.*Your string.*$</regex>
    <description>I've just picked up a fault in the AE35 unit. It's going to go 100% failure in 72 hours</description>
  </rule>
</group>

Zasady mogą być bardzo elastyczne i złożone. Zobacz tę tabelę, aby poznać parametry związane z regułą.

Jeśli nie chcesz lub nie potrzebujesz innych funkcji bezpieczeństwa, możesz je dezaktywować, usuwając includelinie pod rulestagiem.

Sugerowałbym, aby Nagios działał tam, gdzie pracuję do monitorowania wielu maszyn z siecią. Jest bardzo dobry, że nie użyłem go specjalnie do tego, co robisz, ale z pewnością możesz go skonfigurować, aby wysyłał Ci e-mail, gdy wystąpią błędy.

Tutaj jest przewodnik na temat instalacji na Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ i jeden tutaj na temat instalacji na http: //www.debianhelp. co.uk/nagiosinstall.htm .

I możesz wysłać to za pomocą czegoś takiego:

EMAILMSG="/tmp/logreport.$$"
echo "Something to put in the email" >> $EMAILMSG

cat $EMAILMSG | mail -s "Whatever Subject You Like" user@domain.com
rm -f $EMAILMGS

Używam Zabbix z narzędziami IPMI do restartowania uszkodzonych serwerów na żądanie. Myślę też, że OSSEC jest dobrym wyborem, ale naprawdę musisz eksperymentować i debugować, zanim umieścisz go w prod ...

Pobierz i zainstaluj Splunk na serwerze. Jest podobny do logwatcha, ale zapewnia wyszukiwarkę twoich logów.

Możesz go skonfigurować tak, aby indeksował dzienniki, możesz następnie przeszukiwać dzienniki i znajdować wzorce, znajdować błędy, a następnie sprawdzać, co robią inne dzienniki w tym konkretnym punkcie awarii.

Można również ustawić wysyłanie alertów lub wykonywanie skryptów przy określonych progach. Jeśli więc konkretny błąd zacznie być spamowany w twoim dzienniku, możesz napisać go w skrypcie, aby automatycznie zrestartować naruszającą usługę.

Używamy splunk w naszym klastrze serwerów i to uratowało życie!

W poprzednim pracodawcy korzystaliśmy z logsurfer + do monitorowania dzienników w czasie rzeczywistym i wysyłania powiadomień e-mail. Dostrojenie fałszywych wyników zajmuje dużo czasu i konfiguracji, ale mieliśmy zestaw reguł, który działał całkiem dobrze w przypadku różnych ustaleń i alarmowania, znacznie bardziej wartościowego niż Nagios do podobnych celów.

Niestety nie mam już dostępu do pliku konfiguracyjnego, aby dostarczyć próbki tego, co przefiltrowaliśmy, ale strona powinna dostarczyć więcej informacji i przykładów.

Możesz także obejrzeć mój projekt Octopussy .