Mam serwer z wadliwym przyciskiem zasilania, który lubi się restartować. Zwykle pojawiają się znaki ostrzegawcze, na przykład plik dziennika acpid w katalogu / var / log zaczyna spamować śmieci przez około 10 godzin.
Czy istnieje prosty sposób, aby coś monitorować dziennik acpid i przesyłać mi e-mailem informacje o nowej aktywności?
Nie uważałbym się za bardzo zaawansowanego, więc każdy „przewodnik”, który możesz mieć do osiągnięcia czegoś takiego, byłby bardzo pomocny i bardzo doceniany. Dziękuję Ci!
Odpowiedzi:
Możesz użyć czegoś takiego jak LogWatch . Lub nawet prosty skrypt taki jak ten (jest to pseudo kod, który musisz zmodyfikować w swoim środowisku):
Włóż to do crona, aby uruchamiał się co godzinę, a powinieneś otrzymać wiadomość e-mail z informacją, kiedy robi się dziwnie.
źródło
Możesz użyć OSSEC HIDS, aby skonfigurować reguły dla plików dziennika i jednocześnie uzyskać informacje o bezpieczeństwie od swojego hosta.
Konfiguracja jest bardzo łatwa:
/var/ossec/rules/local_rules.xml
zgodnie z poniższym opisem/var/ossec/bin/ossec-control start
local_rules.xml
Zasady mogą być bardzo elastyczne i złożone. Zobacz tę tabelę, aby poznać parametry związane z regułą.
Jeśli nie chcesz lub nie potrzebujesz innych funkcji bezpieczeństwa, możesz je dezaktywować, usuwając
include
linie podrules
tagiem.źródło
Sugerowałbym, aby Nagios działał tam, gdzie pracuję do monitorowania wielu maszyn z siecią. Jest bardzo dobry, że nie użyłem go specjalnie do tego, co robisz, ale z pewnością możesz go skonfigurować, aby wysyłał Ci e-mail, gdy wystąpią błędy.
Tutaj jest przewodnik na temat instalacji na Ubuntu http://beginlinux.com/blog/2008/11/install-nagios-3-on-ubuntu-810/ i jeden tutaj na temat instalacji na http: //www.debianhelp. co.uk/nagiosinstall.htm .
źródło
I możesz wysłać to za pomocą czegoś takiego:
źródło
Używam Zabbix z narzędziami IPMI do restartowania uszkodzonych serwerów na żądanie. Myślę też, że OSSEC jest dobrym wyborem, ale naprawdę musisz eksperymentować i debugować, zanim umieścisz go w prod ...
źródło
Pobierz i zainstaluj Splunk na serwerze. Jest podobny do logwatcha, ale zapewnia wyszukiwarkę twoich logów.
Możesz go skonfigurować tak, aby indeksował dzienniki, możesz następnie przeszukiwać dzienniki i znajdować wzorce, znajdować błędy, a następnie sprawdzać, co robią inne dzienniki w tym konkretnym punkcie awarii.
Można również ustawić wysyłanie alertów lub wykonywanie skryptów przy określonych progach. Jeśli więc konkretny błąd zacznie być spamowany w twoim dzienniku, możesz napisać go w skrypcie, aby automatycznie zrestartować naruszającą usługę.
Używamy splunk w naszym klastrze serwerów i to uratowało życie!
źródło
W poprzednim pracodawcy korzystaliśmy z logsurfer + do monitorowania dzienników w czasie rzeczywistym i wysyłania powiadomień e-mail. Dostrojenie fałszywych wyników zajmuje dużo czasu i konfiguracji, ale mieliśmy zestaw reguł, który działał całkiem dobrze w przypadku różnych ustaleń i alarmowania, znacznie bardziej wartościowego niż Nagios do podobnych celów.
Niestety nie mam już dostępu do pliku konfiguracyjnego, aby dostarczyć próbki tego, co przefiltrowaliśmy, ale strona powinna dostarczyć więcej informacji i przykładów.
źródło
Możesz także obejrzeć mój projekt Octopussy .
źródło