对于系统管理员来说,日志分析极其重要。
越早知道系统日志信息,就能越早对系统做好相应的措施。
对于上千条记录的日志文件,如果手工一条一条查看的话,肯定十分累。因此,需要一些专门分析日志的软件来给我们帮忙。
Swatch 的意思是“Simple WATCHer”,其他的日志分析工具需要对日志文件定期扫描,Swatch 也能这样做,但是它能实时监测 syslogd 的活动并在遇到问题时采取措施。
引用
一、安装
首先下载最新版本的 swatch,然后运行:
perl Makefile.PL
make
make test
make install
make realclean
安装好 swatch 以后,一些相应的 perl 模块,也需要下载下来。
二、配置
Swatch 采用正则表达式来查找感兴趣的行。一旦发现匹配的行,就采取相应措施,例如输出到屏幕或者打印出来,或者 Email 发送,或者由用户自定义。
watchfor /[dD]enied|/DEN.*ED/
echo bold
bell 3
mail
exec "/etc/call_pager 5551234 08"
上
面是 swatch 配置脚本中的一段。首先 swatch 寻找包含
“denied”或者“Denied”或者以“DEN”开头以“ED”结束的行,然后以粗体形式在屏幕上输出,叫三下喇叭,然后发送邮件给运行
swatch 的用户(通常是 root),然后执行程序 /etc/call_pager 发送传呼给指定的号码。
三、使用
swatch 的使用很简单,用普通方法检查日志:
swatch --config-file=/etc/swatch.conf --examine=/var/log/messages
如果要作为一直运行的服务来监视日志,只要用:
swatch --config-file=/etc/swatch.conf --tail-file=/var/log/messages
看起来,swatch 似乎要比 logcheck 简单实用多了。
需要更多帮助的话,可以去 Swatch 的老家看看。 邮件列表也会是一个很好的资源。
阅读(815) | 评论(0) | 转发(0) |
