0

私はこれを何日も試していますが、まだ苦労しています。

このスクリプトの目的は、複数のサーバー (特に 29 台) でリアルタイムのログ監視を実行し、サーバー間のログイン失敗記録を関連付けることです。サーバーのログは毎日 23:59:59 に圧縮され、0 時から新しいログが開始されます。

私のアイデアは、すべてのサーバーで使用tail -f | grep "failed password" | tee centralized_logし、すべてのサーバー名のループによってアクティブ化され、バックグラウンドで実行され、ログイン失敗の記録を集中ログに出力することでした。しかし、うまくいきません。そして、スクリプトを終了するとすぐにゾンビになるデーモンがたくさん作成されます。

tailまた、数分間隔で行うことも検討しています。ただし、ログが大きくなるにつれて、処理時間が長くなります。tail前に停止 した場所へのポインターを設定する方法は?

したがって、複数のログの監視と相関を行うための、より効果的な方法を提案していただけませんか。完全に必要でない限り、追加のインストールは推奨されません。

4

1 に答える 1

1

ログが syslog を通過し、 を使用している場合rsyslogd、次のようなプロパティ マッチを使用して、関心のある特定のメッセージを 1 つ (または 2 つ) の集中型ログ サーバーに転送するように各マシンの syslog を構成できます。

:msg, contains, "failed password"

信頼できる syslog 転送を設定する方法の詳細については、rsyslog のドキュメントを参照してください。

于 2013-07-03T05:35:43.460 に答える