در log_analysis یک موتور تجزیه و تحلیل فایل ورود به سیستم است که عصاره داده مربوط به هر یک از پیام ورود به رسمیت شناخته شده و تولید خلاصه این است که بسیار ساده تر به عنوان خوانده شده است.
log_analysis راه حل من به این مشکلات است. آن را از طریق چندین نوع مختلف از سیاهههای مربوط (در حال حاضر syslog را، wtmp، و sulog) می رود، بیش از برخی از دوره (پیش فرض به روز گذشته). این نوار از تاریخ و PID، و دور می اندازد مطالب خاص. سپس آن را سعی می کند هر ورودی در برابر یک لیست از عبارات پرل به طور منظم. هر عبارت پرل به طور منظم با نام دسته و یک قاعده برای استخراج داده ها در ارتباط است. هنگامی که یک بازی وجود دارد، حکومت داده استخراج اعمال می شود، و واصل تحت رده.
اگر یک ورودی ورود ناشناخته است، آن را تحت یک دسته بندی خاص برای مجهول واصل شده است. مطالب مشابه برای یک دسته بندی داده می شود طبقه بندی شده اند و شمارش. یک گزینه را به پست الکترونیکی خروجی وجود دارد، بنابراین شما فقط می توانید آن را اجرا کنید از cron را میدهد. شما همچنین می توانید یک کپی محلی از خروجی را نجات دهد. اگر شما ترجیح می دهند PGP ایمیل خود خروجی، شما می توانید این کار، بیش از حد. تمام چیزی که طراحی شده است به راحتی به تمدید شود، با یک رابط پلاگین در آسان است. حالت پیش فرض است برای گزارش، اما آن را نیز "واقعی" و "رابط کاربری گرافیکی" حالت برای نظارت مستمر، با حمایت از اقدام. اوه، و شما می توانید الگوهای در یک رابط کاربری گرافیکی است که کمک می کند تا ارسال عبارات منظم به سرعت و به راحتی ویرایش کنید.
امنیت
این برنامه نیاز به اجرای با اجازه خواندن فایل های ورود خود را به منظور مفید باشد، که معمولا به معنای ریشه. این کار به ریشه SUID طور پیش فرض نیست، و من توصیه ساخت آن SUID، بنابراین فقط آن را اجرا کنید به عنوان ریشه (به عنوان مثال. دستی و یا از cron را). من سعی کردم برای جلوگیری از فایل های موقتی در همه جا که من می توانم، و در یک مورد که در آن من انجام استفاده از یک فایل موقت، من مطمئن شوید که به استفاده از تابع tmpnam POSIX به جای تلاش خود الگوریتم فایل های موقتی من به را تشکیل می دهند. umask پیش فرض 077. است در صورت استفاده از دستورات عمل است، هیچ چیز به شما را از استفاده از قطعات از پیام ورود به شیوه های نا امن وجود دارد، بنابراین برای خوبی خاطر، مراقب باشید.
پسوند محلی
log_analysis در حال حاضر دارای مقدار زیادی از قوانین، اما شانس هستند که شما باید ورود به سیستم مطالب که در حال حاضر تحت پوشش نیست. بنابراین، log_analysis به راحتی می توانید از طریق یک فایل پیکربندی محلی توسعه یافته، به عنوان در manpage log_analysis مستند. حتی یک راه آسان برای انجام مدولار پلاگین وجود دارد
ویژگی ها:.
گزارش حاوی مقدار زیادی از مسائل غیر اصلی است که من می خواهم به سیستم وارد شود، اما من نمی خواهم به غربال کردن از طریق وقتی که من بررسی سیاهههای مربوط (معمول یعنی.، بدون خطا عمل شبح.)
گزارش ها حاوی مقدار زیادی از تکرار، که drowns از مطالب جالب.
با توجه به تکرار می شود زیرا مشکل هر ورودی معمولا دارای ویژگی های اضافی، آن را به منحصر به فرد، مانند تاریخ، شاید PID (به عنوان مثال. برای syslog را)، و شاید اطلاعات برنامه خاص (به عنوان مثال. شناسه صف از sendmail.)
یکی باید به خاطر داشته باشید که آنها را بررسی می کند. :)
یکی باید ریشه به نظر می رسد در سیاهههای مربوط به برخی از سوالات معمول.
بر روی اکثر سیستم، به دنبال در سیاهههای مربوط به فقط یک روز می تواند یک درد.
اگر من هر جعبه من با مقابله و ارسال اسکریپت جداگانه برای انجام تمام این حمله، من زمان زیادی را هدر تکثیر تلاش.
نوشتن الگوهای درد حتی اگر شما می دانید عبارات منظم است.
چه جدید در این نسخه است:
در این نسخه اضافه می کند ویژگی های جزئی و رفع اشکالات جزئی.
نظر یافت نشد