1. 前言
本教程主要讲解在Linux系统中如何使用swatchdog实时监控日志文件的变化。
swatchdog(Simple WATCH DOG)是一个简单的Perl脚本,用于监视类Unix系统(比如Linux)上的活动日志文件。它根据可以在配置文件中定义的正则表达式监控日志。您可以从命令行或后台运行它,使用daemon模式选项在后台运行。
请注意,该程序最初名为swatch(Simple Watcher翻译为简单的观察者),但在这家老牌瑞士手表公司要求更改名称时,开发人员将其名称改为swatchdog。
重要的是,swatchdog是从一个用于监视Unix syslog工具生成的日志的脚本发展起来的,它可以监视任何类型的日志。
Linux实时监控日志文件的变化程序之swatchdog
2. 在Linux系统上如何安装Swatch
swatchdog安装程序可以从主流Linux发行版的官方软件仓库中通过包管理器安装swatch,如下所示。
基于Ubuntu/Debian系统
sudo apt install swatch基于RHEL/CentOS系统
sudo yum install epel-release && sudo yum install swatchFedora 22+
sudo dnf install swatch要安装swatchdog的最新版本,您可以在任何Linux发行版中使用以下命令从源代码编译它。
git clone https://github.com/ToddAtkins/swatchdog.git
cd swatchdog/
perl Makefile.PL
make
sudo make install
sudo make realclean在Linux系统上如何安装Swatch
3. 如何使用swatch监控日志文件变化
安装了swatch之后,需要创建它的配置文件(默认位置是/home/$USER/.swatchdogrc或者.swatchrc)。以确定要查找的表达式模式的类型,以及在匹配模式时应该采取的操作类型。
touch /home/tecmint/.swatchdogrc或者
touch /home/tecmint/.swatchrc如何使用swatch监控日志文件变化
将正则表达式添加到此文件中,每行应该包含一个关键字和值(有时是可选的),以空格或等号(=)分隔。您需要指定关键字和匹配内容时要采取的操作。
我们将使用一个简单的配置文件,例如,您可以在swatchdog man页面中找到更多的选项。
watchfor /sudo/
echo red
mail=admin@tecmint.com, subject="Sudo Command"我们的正则表达式是一个文字字符串—sudo,意味着任何时候字符串sudo出现在日志文件,将以输出red到终端和邮件,这是指定要采取行动。
配置完成后,swatchdog将默认读取/var/log/syslog日志文件,如果该文件不存在,它将读取/var/log/messages。
基于RHEL/CentOS & Fedora
swatch基于Ubuntu/Debian
swatchdog可以使用-c选项指定一个不同的配置文件,如下面的示例所示。
首先创建一个swatch配置目录和一个文件。
mkdir swatch
touch swatch/secure.conf接下来,在该文件中添加以下配置,以监控失败和成功的ssh登录尝试,日志文件位置在/var/log/secure。
watchfor /FAILED/
echo red
mail=admin@tecmint.com, subject="Failed Login Attempt"
watchfor /ROOT LOGIN/
echo red
mail=admin@tecmint.com, subject="Successful Root Login"
watchfor /ssh.*: Failed password/
echo red
mail=admin@tecmint.com, subject="Failed SSH Login Attempt"
watchfor /ssh.*: session opened for user root/
echo red
mail=admin@tecmint.com, subject="Successful SSH Root Login"现在,通过使用-c指定配置文件并使用-t选项指定日志文件来运行swatch,如下所示。
swatchdog -c ~/swatch/secure.conf -t /var/log/secure要在后台运行它,可以使用-daemon选项,它将在后台运行。
swatchdog ~/swatch/secure.conf -t /var/log/secure --daemon现在,要测试swatch配置,请尝试从不同的终端登录到服务器,您将看到以下输出。
*** swatch version 3.2.3 (pid:16531) started at Thu Jul 12 12:45:10 BST 2018
Jul 12 12:51:19 tecmint sshd[16739]: Failed password for root from 192.168.0.103 port 33324 ssh2
Jul 12 12:51:19 tecmint sshd[16739]: Failed password for root from 192.168.0.103 port 33324 ssh2
Jul 12 12:52:07 tecmint sshd[16739]: pam_unix(sshd:session): session opened for user root by (uid=0)
Jul 12 12:52:07 tecmint sshd[16739]: pam_unix(sshd:session): session opened for user root by (uid=0)您还可以运行多个swatch进程来监控各种日志文件。
swatchdog -c ~/site1_watch_config -t /var/log/nginx/site1/access_log --daemon
swatchdog -c ~/messages_watch_config -t /var/log/messages --daemon
swatchdog -c ~/auth_watch_config -t /var/log/auth.log --daemon有关更多信息,请查看swatchdog man页面。
man swatchdog4. 总结
swatchdog是一个简单的活动日志文件监控工具,适用于类unix系统,比如Linux。如果你有更好工具,请留言分享您的经验。
本订阅号不支持在线播放学习视频功能,如需要免费学习视频请添加视频学习专用微信服务号,一键关注的方法如下
微信搜索公众号“智传网优”或者长按以下二维码,然后选择“识别图中二维码”直接开始自助视频学习,欢迎留言或与我们讲师直接沟通。
扫码立即接入在线课堂随时随地学习潮流IT技术
Linux学习QQ群:557371664
本文已同步至博客站,尊重原创,转载时请在正文中附带以下链接:https://www.linuxrumen.com/cyml/1710.html
