[英]Shell multiple logs monitoring and correlation
我已经尝试了好几天,但仍然很努力。
该脚本的目的是对多个服务器(特别是29个)执行实时日志监视,并使服务器之间的登录失败记录相关联。 每天23:59:59压缩服务器日志,新日志从0点开始。
我的想法是使用tail -f | grep "failed password" | tee centralized_log
tail -f | grep "failed password" | tee centralized_log
在每台服务器上tail -f | grep "failed password" | tee centralized_log
,通过循环遍历所有服务器名称激活,在后台运行,并将登录失败记录输出到集中日志。 但这是行不通的。 并且它创建了许多守护程序,一旦我终止脚本,它们就会变成僵尸。
我也正在考虑每隔几分钟做tail
。 但是,随着日志变大,处理时间将增加。 如何设置指向上一条tail
停止位置的指针?
因此,请您提出一种更好的工作方式来进行多个日志监视和关联。 除非完全必要,否则不建议进行其他安装。
如果您的日志正在通过syslog,并且您正在使用rsyslogd
,则可以使用属性匹配将每台机器上的syslog配置为将您感兴趣的特定消息转发到一个(或两个)集中式日志服务器上:
:msg, contains, "failed password"
有关如何设置可靠的syslog转发的更多详细信息,请参见rsyslog文档 。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.