Linux下常用日志分析工具Logcheck简介

转载 2007年09月16日 20:53:00

 

作者:刘志勇 郭聪辉

对于拥有大量账户、系统繁忙的Linux系统而言,其日志文件是极其庞大的,很多没有用的信息会将值得注意的信息淹没,给用户分析日志带来了很大的不便。现在有一些专门用于分析日志的工具,如Logcheck和Friends。

  Logcheck用来分析庞大的日志文件,过滤出有潜在安全风险或其他不正常情况的日志项目,然后以电子邮件的形式通知指定的用户。它是由Psionic开发的,可以到http://www.psionic.com/tools/logcheck-1.1.1.tar.gz下载。或者去http://www.psionic.com/abacus /logcheck/看看是否有新的版本。

  该程序的安装相当方便。解压后运行make文件,按照它的提示选择操作系统的类型以后就能编译完成了。配置文件和运行脚本默认安装在/usr/local/etc/下。

  logcheck.sh

  这是Logcheck的shell脚本,用于分析本次的日志文件并汇报结果。

  logcheck.hacking

  这个文件设置在日志文件中过滤的关键字,该关键字提示了潜在安全风险的信息。用户可以定制自己的日志文件,在logcheck.hacking文件中增加或删除关键字。

  logcheck.violations

  这个文件设置在日志文件分析过滤系统运行时出现异常情况的关键字。

  logcheck.violations.ignore

  如果系统出现异常情况,但含有此文件中的关键字,则视为正常,不写入Logcheck的分析报告文件中。

  logcheck.ignore

  如果系统日志文件记录了可能遭遇攻击的消息,但含有logcheck.ignore文件中的关键字,则Logcheck视为正常,在分析报告文件中不包含这些消息。

  安装完Logcheck后,还要修改logcheck.sh文件中的参数以符合用户的要求。有两点值得注意。下列命令:

# Person to send log activity to.
SYSADMIN=root


  Logcheck默认将报告发给root。如果要发给指定的电子邮箱,改动这里就可以了。如果希望将报告发给多个用户,可以定义mail的别名。要检查的日志文件的设置:

# Linux
$LOGTAIL /var/log/syslog > $TMPDIR/check.$ 
$LOGTAIL /var/log/messages >> $TMPDIR/check.$

用户可以根据需要加上要检查的日志文件,例如:
$LOGTAIL /var/log/auth.log >> $TMPDIR/check.$
$LOGTAIL /var/log/deamon.log >> $TMPDIR/check.$
$LOGTAIL /var/log/mail.log >> $TMPDIR/check.$


  最后用cron安排服务器自动定时重复执行logcheck.sh脚本文件。

 


Linux系统下常用日志分析工具:Logcheck简介

function loadshow() { document.all("frmMenu").style....
  • cjwid
  • cjwid
  • 2007年06月25日 23:02
  • 623

网站日志分析工具,windows,linux

  • 2012年08月09日 08:50
  • 717KB
  • 下载

RHEL 6.x 搭建rsyslog日志服务器和loganalyzer 日志分析工具

RHEL 6.x  搭建rsyslog日志服务器和loganalyzer日志分析工具 =============================================== rsy...
  • fishmai
  • fishmai
  • 2016年07月04日 15:22
  • 1995

Linux服务器性能日志收集和分析脚本

最近老大要求分析服务器的性能数据,找到服务器运行的性能瓶颈,结果花了两天时间,写了两个脚本可以生成日志并可以进行数据提取,最终生成数据可以放到excel生成报表。过程中也学到了不少shell编程技术。...
  • ssmile
  • ssmile
  • 2016年07月08日 17:22
  • 1853

比较流行的日志分析软件

一、Webtrends Webtrends现在是Netiq公司的网站访问统计软件,可以说是业界日志分析软件的工业标准。笔者通过对其新版本Webtrends 7.0的试用,亲身体会到了此产品在网站运营...
  • achejq
  • achejq
  • 2014年03月05日 16:14
  • 3474

日志分析查看——grep,sed,sort,awk运用

概述        我们日常应用中都离不开日志。可以说日志是我们在排查问题的一个重要依据。但是日志并不是写了就好了,当你想查看日志的时候,你会发现线上日志堆积的长度已经超越了你一行行浏览的耐性的极限了...
  • teamlet
  • teamlet
  • 2014年07月22日 17:39
  • 57324

Linux系统日志及日志分析

转自:http://blog.csdn.net/leizi191110211/article/details/51580828 Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的...
  • zhaoyangyao888
  • zhaoyangyao888
  • 2016年07月21日 10:08
  • 1979

集中化Linux日志管理系统

笔者 工作中 负责 着 60 多 台Linux服务器的运维管理工作, 初期 每台机器日志的巡查,是一件相当耗时耗力的工作。后来经过 摸索 ,整理出一个非常适合各种规模的服务器的日志集中化管理,巡查流程...
  • a727756480
  • a727756480
  • 2014年03月25日 14:30
  • 6878

Linux—图解rsyslog及通过 Loganalyzer实现集中式日志管控

1、安装背景:  在系统管理过程中,所有的系统信息都保存在日志文件中,快速的查找日志并找到问题所在以便解决问题是每个运维人员的必备技能,虽然rsyslog+mysql的机制已经可以实现查看日志的...
  • u010781856
  • u010781856
  • 2015年08月12日 14:46
  • 4880

Linux系统日志管理(redhat)

一、Linux系统日志作用 日志对任何一个OS、应用软件、服务进程而言都是必不可少的模块。日志 文件对于系统和网络安全起到中大作用,同时具有审计、跟踪、排错功能。 可以通过日志文件监测系统与网络...
  • u010154760
  • u010154760
  • 2015年03月30日 18:25
  • 2065
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:Linux下常用日志分析工具Logcheck简介
举报原因:
原因补充:

(最多只允许输入30个字)