SwatchDog - simple observateur de fichiers journaux en temps réel en Linux

SwatchDog - simple observateur de fichiers journaux en temps réel en Linux

Swatchdog (le "Chien de montres simple») Est un simple script Perl pour surveiller les fichiers journaux actifs sur des systèmes de type UNIX tels que Linux. Il regarde vos journaux en fonction des expressions régulières que vous pouvez définir dans un fichier de configuration. Vous pouvez l'exécuter à partir de la ligne de commande ou en arrière-plan, détaché à partir de tout terminal en utilisant l'option Mode Daemon.

Notez que le programme a été appelé à l'origine échantillon (le "Wimper d'observateur») Mais une demande de l'ancienne société de surveillance suisse pour un changement de nom a vu le développeur changer son nom en swatchdog.

Lire aussi: 4 Bonnes outils de surveillance du journal open source et de gestion pour Linux

En bonne place, swatchdog est passé à partir d'un script pour regarder les journaux produits par l'installation Syslog d'Unix, et il peut surveiller à peu près tous les types de journaux.

Comment installer Swatch dans Linux

Le paquet swatchdog est disponible pour installer à partir des référentiels officiels des distributions grand public Linux en tant que package "échantillon»Via un gestionnaire de packages comme indiqué.

$ sudo apt installer swatch [Sur Ubuntu / Debian] $ sudo yum install epel-release && sudo yum install swatch [Sur Rhel / Centos] $ sudo dnf installer swatch [Sur Fedora 22+]] 

Pour installer la plus dernière version de swatchdog, Vous devez le compiler à partir de la source à l'aide de commandes suivantes dans n'importe quelle distribution Linux.

$ git clone https: // github.com / toddatkins / swatchdog.git $ cd swatchdog / $ perl makefile.Pl $ make $ sudo faire installer $ sudo faire realclean 

Une fois que vous avez installé le échantillon, Vous devez créer son fichier de configuration (l'emplacement par défaut est / home / $ utilisateur /.swatchDogrc ou .swatchrc), pour déterminer quels types de modèles d'expression rechercher et quel type d'action doit être pris lorsqu'un modèle est apparié.

$ Touch / Home / Tecmint /.swatchDogrc ou $ touch / home / tecmint /.swatchrc 

Ajoutez votre expression régulière dans ce fichier et chaque ligne doit contenir un mot-clé et une valeur (parfois facultatif), séparés par un espace ou un égal (=) signe. Vous devez spécifier un modèle et une ou des actions à prendre lorsqu'un modèle est apparié.

Nous utiliserons un fichier de configuration simple, vous pouvez trouver plus d'options dans la page Swatchdog Man, par exemple.

WatchFor / sudo / echo red [e-mail protégé], sujet = "Commande sudo" 

Ici, notre expression régulière est une chaîne littérale - "Sudo", signifie chaque fois la chaîne Sudo apparu dans le fichier journal, serait imprimé dans le terminal en texte rouge et poster Spécifiez l'action à prendre, qui consiste à faire écho au modèle apparié sur le terminal et à envoyer un e-mail à l'adresse spécifiée, réceptivement.

Après l'avoir configuré, SwatchDog lit le / var / log / syslog Fichier journal par défaut, si ce fichier n'est pas présent, il se lit / var / log / messages.

$ swatch [Sur Rhel / Centos & Fedora] $ swatchdog [Sur Ubuntu / Debian]] 

Vous pouvez spécifier un fichier de configuration différent à l'aide du -c Flag comme indiqué dans l'exemple suivant.

Créez d'abord un répertoire de configuration de Swatch et un fichier.

$ mkdir swatch $ touch swatch / sécurisé.confli 

Ensuite, ajoutez la configuration suivante dans le fichier pour surveiller les tentatives de connexion échouées, échoué des tentatives de connexion SSH, connexion SSH réussie à partir du / var / log / sécurisé fichier journal.

veille de vue / échec / écho rouge [e-mail protégé], sujet = "Échec de la tentative de connexion"Mandat de vue / Root Login / Echo Red [Protégé par e-mail], sujet ="Connexion racine réussie"Mandard-visier / ssh.*: Mot de passe / Echo Rouge échoué [Protégé par e-mail], sujet = "Échec de la tentative de connexion SSH"Mandard-visier / ssh.*: Session ouverte pour la racine / écho de l'utilisateur [Protégé par e-mail], sujet = "Connexion à racine SSH réussie" 

Exécutez maintenant le Swatch en spécifiant le fichier de configuration à l'aide du -c et fichier journal en utilisant -t Flag comme indiqué.

$ swatchdog -c ~ / swatch / sécurisé.conf -t / var / log / sécurisé 

Pour l'exécuter en arrière-plan, utilisez le --démon drapeau; Dans ce mode, il est détaché de tout terminal.

$ swatchdog ~ / swatch / sécurisé.conf -t / var / log / sécurisé --daemon 

Maintenant, pour tester la configuration de l'échantillon, essayez de vous connecter au serveur à partir de la borne différente, vous voyez la sortie suivante imprimée au terminal où SwatchDog s'exécute.

*** Swatch version 3.2.3 (PID: 16531) Démarré le jeu 12 juillet 12:45:10 BST 2018 12 juil.168.0.103 Port 33324 SSH2 12 juil.168.0.103 Port 33324 SSH2 12 juil 12:52:07 Tecmint SSHD [16739]: PAM_UNIX (SSHD: SESSION): Session ouverte pour la racine de l'utilisateur par (UID = 0) JUU 12 12:52:07 Tecmint SSHD [16739]: PAM_UNIX ( sshd: session): la session ouverte pour la racine de l'utilisateur par (uid = 0) 
Surveillez les journaux Linux en temps réel

Vous pouvez également exécuter plusieurs processus d'échantillon pour surveiller divers fichiers journaux.

$ swatchdog -c ~ / site1_watch_config -t / var / log / nginx / site1 / access_log --daemon $ swatchdog -c ~ / messages_watch_config -t / var / log / messages --daemon $ swatchdog -c ~ / auth_watch_config -t / messages - daemon $ swatchdog -c ~ / auth_watch_config -t / var / log / auth.journal - daemon 

Pour plus d'informations, consultez la page Swatchdog Man.

$ man swatchdog 

SwatchDog Sourceforge Repository: https: // sourceforge.net / projets / swatch /

Voici quelques guides de surveillance des journaux supplémentaires que vous trouverez utiles:

  1. 4 façons de regarder ou de surveiller les fichiers journaux en temps réel
  2. Comment créer un serveur de journaux centralisé avec RSYSLOG
  3. Surveiller les journaux du serveur en temps réel avec «journal.outil IO
  4. LNAV - Regardez et analysez les journaux Apache à partir d'un terminal Linux
  5. NGXTOP - Surveillez les fichiers journaux Nginx en temps réel dans Linux

Swatchdog est un simple outil de surveillance des fichiers journaux actifs pour les systèmes de type UNIX tels que Linux. Essayez-le et partagez vos réflexions ou posez des questions dans la section des commentaires.