linux下常用日誌分析工具
logcheck簡介
對於擁有大量賬戶、系統繁忙的linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如logcheck和friends。logcheck用來分析龐大的日誌檔案,過濾出有潛在安全風險或其他不正常情況的日誌專案,然後以電子郵件的形式通知指定的使用者。它是由psionic開發的。
對於擁有大量賬戶、系統繁忙的linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如logcheck和friends。
該程式的安裝相當方便。解壓後執行make檔案,按照它的提示選擇作業系統的型別以後就能編譯完成了。配置檔案和執行指令碼預設安裝在/usr/local/etc/下。
logcheck.sh
這是logcheck的shell指令碼,用於分析本次的日誌檔案並匯報結果。
logcheck.hacking
這個檔案設定在日誌檔案中過濾的關鍵字,該關鍵字提示了潛在安全風險的資訊。使用者可以定製自己的日誌檔案,在logcheck.hacking檔案中增加或刪除關鍵字。
logcheck.violations
這個檔案設定在日誌檔案分析過濾系統執行時出現異常情況的關鍵字。
logcheck.violations.ignore
如果系統出現異常情況,但含有此檔案中的關鍵字,則視為正常,不寫入logcheck的分析報告檔案中。
logcheck.ignore
如果系統日誌檔案記錄了可能遭遇***的訊息,但含有logcheck.ignore檔案中的關鍵字,則logcheck視為正常,在分析報告檔案中不包含這些訊息。
安裝完logcheck後,還要修改logcheck.sh檔案中的引數以符合使用者的要求。有兩點值得注意。
下列命令:
# person to send log activity to.
sysadmin=root
logcheck預設將報告發給root。如果要發給指定的電子郵箱,改動這裡就可以了。如果希望將報告發給多個使用者,可以定義mail的別名。
要檢查的日誌檔案的設定:
# linux
$logtail /var/log/syslog > $tmpdir/check.$$
$logtail /var/log/messages >> $tmpdir/check.$$
使用者可以根據需要加上要檢查的日誌檔案,例如:
$logtail /var/log/auth.log >> $tmpdir/check.$$
$logtail /var/log/deamon.log >> $tmpdir/check.$$
$logtail /var/log/mail.log >> $tmpdir/check.$$
最後用cron安排伺服器自動定時重複執行logcheck.sh指令碼檔案。
Linux下常用日誌分析工具Logcheck簡介
對於擁有大量賬戶 系統繁忙的 linux系統而言,其日誌檔案是極其龐大的,很多沒有用的資訊會將值得注意的資訊淹沒,給使用者分析日誌帶來了很大的不便。現在有一些專門用於分析日誌的工具,如logcheck和friends。該程式的安裝相當方便。解壓後執行make檔案,按照它的提示選擇作業系統的型別以後就...
linux 日誌分析工具
grep查詢,sed 編輯,awk 根據內容分析並處理.grep 關鍵字 擷取 文字蒐集工具,結合正規表示式非常強大 awk 關鍵字 分析 處理 一行一行的分析處理 sed 關鍵字 編輯 以行為單位的文字編輯工具 sed可以直接修改檔案 sed 是一種新型的,非互動式的編輯器。它能執行與編輯器 vi...
linux下常用的日誌分析命令
linux下常用的日誌分析命令 形如下面這樣的access.log日誌內容 必須借助命令或指令碼才可以分析 提取出有價值的內容。以下是收集的一些用於日誌分析的命令或指令碼,分享下,有用到的朋友參考下吧。1,檢視apache的程序數 示例 2,分析日誌檢視當天的ip連線數 示例 cat default...