swatchdog介绍
swatchdog是从一个用于监视Unix syslog工具生成的日志的脚本发展起来的,它可以监视任何类型的日志。swatchdog(Simple WATCH DOG)是一个简单的Perl脚本,用于监视类Unix系统(比如Linux)上的活动日志文件。它根据可以在配置文件中定义的正则表达式监控日志。您可以从命令行或后台运行它,使用daemon模式选项在后台运行。
CentOS上面安装swatch
sudo yum install epel-release && sudo yum install swatch
监控日志文件变化
创建配置文件
安装了swatch之后,需要创建它的配置文件(默认位置是/home/$USER/.swatchdogrc或者.swatchrc)。以确定要查找的表达式模式的类型,以及在匹配模式时应该采取的操作类型。CentOS是.swatchrc
touch ~/.swatchrc
将正则表达式添加到此文件中,每行应该包含一个关键字和值(有时是可选的),以空格或等号(=)分隔。您需要指定关键字和匹配内容时要采取的操作。
watchfor /sudo/
echo red
mail=admin@tecmint.com, subject="Sudo Command"
我们的正则表达式是一个文字字符串—sudo,意味着任何时候字符串sudo出现在日志文件,将以输出red到终端和邮件,这是指定要采取行动。
配置完成后,swatchdog将默认读取/var/log/syslog日志文件,如果该文件不存在,它将读取/var/log/messages。
启动
swatch
指定不同的配置文件
可以使用-c指定不同的配置文件。
首先,创建一个swatch目录和配置文件secure.conf
cd /root
mkdir swatch
cd swatch
touch secure.conf
secure.conf追加如下内容:
watchfor /FAILED/
echo red
mail=admin@tecmint.com, subject="Failed Login Attempt"
watchfor /ROOT LOGIN/
echo red
mail=admin@tecmint.com, subject="Successful Root Login"
watchfor /ssh.*: Failed password/
echo red
mail=admin@tecmint.com, subject="Failed SSH Login Attempt"
watchfor /ssh.*: session opened for user root/
echo red
mail=admin@tecmint.com, subject="Successful SSH Root Login"
测试效果
- 前台运行测试效果
执行swatch -c ~/swatch/secure.conf -t /var/log/secure
,尝试从不同终端登录。
监控到日志文件变化并输出内容
- 后台运行
swatch -c ~/swatch/secure.conf -t /var/log/secure --daemon
后台运行时,直接打印日志到终端
结束进程
- 查找对应进程ID
ps -ef | grep swatch
- 杀死对应进程ID
kill PID
参考链接:https://blog.csdn.net/qq_40907977/article/details/118723764