লিনাক্স: লগওয়াচ (8) খুব শোরগোলযুক্ত। আমি কীভাবে শব্দ স্তর নিয়ন্ত্রণ করতে পারি?

আমাদের লিনাক্স সিস্টেমগুলি ডিফল্টরূপে লগওয়াচ (8) ইউটিলিটি চালায় । একটি রেডহ্যাট / সেন্টোস / এসএল সিস্টেমে লগওয়াচকে ক্রোনজব ডেকে /etc/cron.daily/আনে, যা ফলাফলের সাথে প্রতিদিনের ইমেল প্রেরণ করে। এই ইমেলগুলির মতো বিষয় রয়েছে:

Subject: Logwatch for $HOSTNAME

সমস্যাটি হ'ল ডিফল্টরূপে এই দৈনিক ইমেলগুলি খুব কোলাহলপূর্ণ এবং এতে প্রচুর অতিরিক্ত অতিরিক্ত তথ্য (এইচটিটিপি ত্রুটি, দৈনিক ডিস্ক ব্যবহার ইত্যাদি) রয়েছে যা ইতিমধ্যে অন্যান্য পরিষেবাদি (নাগিওস, ক্যাকটি, কেন্দ্রীয় সিসলগ, ইত্যাদি) দ্বারা পর্যবেক্ষণ করা হয়। 100 টি সিস্টেমের জন্য, ইমেল লোড অসহনীয়। লোকেরা ইমেলগুলি উপেক্ষা করে, যার অর্থ আমরা লগওয়াচ দ্বারা নেওয়া সমস্যাগুলি মিস করতে পারি miss

আমি কীভাবে লগওয়াচ দ্বারা উত্পাদিত শব্দের পরিমাণ হ্রাস করতে পারি, তবে তবুও আমাদের উল্লেখযোগ্য সমস্যার বিষয়ে অবহিত করতে লগওয়াচটি ব্যবহার করতে পারি?

আমি নীচে আমার নিজের উত্তর পোস্ট করব, তবে অন্যরা কী করেছে তা আমি দেখতে চাই।

দ্রষ্টব্য : ফ্রিবিএসডি-তে আমার কাছে একই প্রশ্ন রয়েছে : পর্যায়ক্রমিক (8) খুব গোলমাল। আমি কীভাবে শব্দ স্তর নিয়ন্ত্রণ করতে পারি?

সামগ্রিকভাবে, লগওয়াচের জন্য উপলব্ধ ডকুমেন্টেশনের পর্যাপ্ত ব্যাখ্যাের অভাব রয়েছে এবং প্রায়শই এটি খুব অস্পষ্ট। আমি কয়েকটি দরকারী উদাহরণ একসাথে তৈরি করেছি এবং লগওয়াচের শব্দটি 95% এরও বেশি কমাতে পেরেছি।

আমি যা পেয়েছি তা এখানে।

মনে রাখবেন যে আপনি এখানে কিছু লগওয়াচ ডকুমেন্টেশন খুঁজে পেতে পারেন /usr/share/doc/logwatch-*/HOWTO-Customize-LogWatchএবং এতে কয়েকটি দরকারী উদাহরণ রয়েছে।

1. RHEL / CentOS / SL এ, ডিফল্ট লগওয়াচ কনফিগারেশনটি অধীন /usr/share/logwatch/default.conf/logwatch.conf

   আপনার স্থানীয় কনফিগারেশনকে এর অধীনে রেখে এই সেটিংসটিকে ওভাররাইড করা যেতে পারে /etc/logwatch/conf/logwatch.conf। লগওয়াচকে 'httpd' এবং দৈনিক ডিস্ক ব্যবহারের পরীক্ষার মতো পরিষেবাদিগুলিকে সম্পূর্ণ উপেক্ষা করার জন্য নিম্নলিখিত ফাইলটিতে রাখুন:

   # Don't spam about the following Services
   Service = "-http"
   Service = "-zz-disk_space"
   

2. কখনও কখনও আমি একটি নির্দিষ্ট পরিষেবার জন্য লগওয়াচ সম্পূর্ণরূপে অক্ষম করতে চাই না, ফলাফলগুলি কম শব্দ করে তুলতে আমি কেবল সুর করতে চাই। /usr/share/logwatch/default.conf/services/*.confপরিষেবার জন্য ডিফল্ট কনফিগারেশন রয়েছে। এই প্যারামিটারগুলি আপনার স্থানীয় কনফিগারেশনকে অধীনে রেখে ওভাররাইড করা যেতে পারে /etc/logwatch/conf/services/$SERVICE.conf। দুর্ভাগ্যক্রমে, এখানে লগওয়াচের দক্ষতা সীমিত, এবং অনেক লগওয়াচ এক্সিকিউটেবলেরই অননুমোদিত পার্ল পূর্ণ। আপনার পছন্দটি হ'ল এক্সিকিউটেবলকে অন্য কোনও কিছুর সাথে প্রতিস্থাপন করা বা কিছু সেটিংস ব্যবহার করে ওভাররাইড করার চেষ্টা করুন /etc/logwatch/conf/services।

   উদাহরণস্বরূপ, আমার কাছে একটি সুরক্ষা স্ক্যানার রয়েছে যা পুরো নেটওয়ার্ক জুড়ে স্ক্যান চালায়। পরীক্ষাগুলি চলার সাথে সাথে, সুরক্ষা স্ক্যানার অ্যাপ্লিকেশন লগে অনেক ত্রুটি বার্তা উত্পন্ন করে। আমি লগওয়াচটি আমার সুরক্ষা স্ক্যানারগুলির ত্রুটি উপেক্ষা করতে চাই, তবে এখনও অন্য হোস্টের আক্রমণ সম্পর্কে আমাকে অবহিত করব। এটি লগওয়াচে আরও বিস্তারিতভাবে কভার করা হয়েছে : এসএসএইচ এবং প্যাম চেকগুলির জন্য নির্দিষ্ট আইপি উপেক্ষা করুন? । এটি করার জন্য, আমি নীচে নীচে রাখি /etc/logwatch/conf/services/sshd.conf:

   # Ignore these hosts
   *Remove = 192.168.100.1
   *Remove = X.Y.123.123
   # Ignore these usernames
   *Remove = testuser
   # Ignore other noise. Note that we need to escape the ()
   *Remove = "pam_succeed_if\(sshd:auth\): error retrieving information about user netscan.*
   

   "

3. লগওয়াচ আপনাকে লগওয়াচ ইমেলগুলি থেকে নিয়মিত অভিব্যক্তি স্থাপন করে আউটপুট উত্তোলনের অনুমতি দেয় /etc/logwatch/conf/ignore.conf। হাওটো-কাস্টমাইজ-লগওয়াচ বলেছেন:

   উপেক্ষাকনফ: এই ফাইলটি নিয়মিত এক্সপ্রেশন নির্দিষ্ট করে যা লগওয়াচের আউটপুটের সাথে মিলে গেলে মিলিত লাইনটি দমন করবে, কোন পরিষেবা নির্বাহ করা হচ্ছে তা নির্বিশেষে।

   তবে এ নিয়ে আমার খুব বেশি ভাগ্য হয়নি। আমার প্রয়োজনীয়তার শর্তাধীন বিবৃতি দরকার, যা 'আমার সুরক্ষা স্ক্যানারের কারণে যদি সুরক্ষা সতর্কতা থাকে তবে আউটপুট প্রিন্ট করবেন না। তবে যদি আমার সুরক্ষা স্ক্যানার এবং কিছু খারাপ লোকের কাছ থেকে সুরক্ষা সতর্কতা থাকে তবে দরকারী অংশগুলি মুদ্রণ করুন - শিরোনামটি "ব্যর্থ হওয়া ব্যর্থগুলি থেকে:" বলে, খারাপ হোস্টগুলির আইপি, তবে স্ক্যানারগুলির আইপি নয় ''

4. উত্স এ এটি নিপ (যেমন @ ব্যবহারকারী 48838 দ্বারা প্রস্তাবিত)। এই বার্তাগুলি কিছু অ্যাপ্লিকেশন দ্বারা উত্পাদিত হচ্ছে, এবং তারপরে লগওয়াচ খুশিতে আপনাকে ফলাফলগুলি বানিয়ে দিচ্ছে। এই ক্ষেত্রে, আপনি কম লগ করতে অ্যাপ্লিকেশনটি পরিবর্তন করতে পারেন।

   এটি সর্বদা কাম্য নয়, কারণ কখনও কখনও আপনি সম্পূর্ণ লগগুলি কোথাও প্রেরণ করতে চান (কোনও সেন্ট্রাল সিসলগ সার্ভার, কেন্দ্রীয় আইডিএস সার্ভার, স্প্লঙ্ক, নাগিওস ইত্যাদি), তবে আপনি লগওয়াচ এ সম্পর্কে আপনাকে ইমেল করতে চান না প্রতিটি সার্ভার, প্রতিদিন।

হ্যাঁ - লগওয়াচ প্রায়শই খুব গোলমাল করে। আপনি ইতিমধ্যে সম্পূর্ণ চেক নিষ্ক্রিয় করার কথা উল্লেখ করেছেন।

আপনি যদি এটি না করতে চান তবে আপনাকে নির্দিষ্ট ইভেন্টগুলি উপস্থিত হতে বাধা দিতে হবে। উদাহরণস্বরূপ - নাগিওগুলি এসএসএসের মাধ্যমে কোনও ডিএমজেড সিস্টেমে সংযুক্ত হলে এটি আকর্ষণীয় নয়। Ssh এর মাধ্যমে অন্য লগইন থাকলে তবে আকর্ষণীয়।

আমরা kysyslogd এর পরিবর্তে rsyslog ব্যবহার করি (প্রথমে rsyslog ইনস্টল করুন, তারপরে ksyslogd সরান)। আরএসস্লগের সাহায্যে আপনি লগগুলিতে কী যায় এবং কী হয় না তা সূক্ষ্ম-টিউন করতে পারেন (উদাহরণস্বরূপ এমন একটি অভিব্যক্তি তৈরি করুন যা sshd cointaining "নাগিও সংযুক্ত" থেকে বার্তা ফেলে দেয়) drops এইভাবে লগওয়াচটি কেবল দরকারী তথ্য প্রতিবেদন করবে।

অন্য কেস xinetd হতে পারে - আমি সফল সংযোগ সম্পর্কে অবহিত করতে চাই না - এটি xinetd itselv এ কনফিগার করা যায় - xinetd জন্য লগওয়াচ-চেক অক্ষম না করে।

আগ্রহের বিষয় হিসাবে আমি বিকল্পটি অনুসরণ করে স্টিফান লাসিউইস্কির উত্তরটি তৈরি করেছিলাম তবে আমার প্রয়োজনে আমি কেবল চাই না এমন সমস্ত গোলমাল বাদ দিয়ে বরং নির্দিষ্ট লাইনগুলি অন্তর্ভুক্ত করতে চেয়েছিলাম।

আমি ভার্সফ্টপিডি কনফিগার করছিলাম তাই আমি তৈরি করেছি /etc/logwatch/conf/services/vsftpd.confএবং এর পরিবর্তে এমন কিছু ব্যবহার করার পরিবর্তে *Remove = testuserসারিগুলি সরিয়ে দেয় যাতে testuserআমি যে রেখাটি ব্যবহার করি তাতে অন্তর্ভুক্ত থাকে *OnlyContains = "testuser"যা কেবল সেই পাঠ্য সহ সারিগুলি দেয়।

এই 2 টি স্ক্রিপ্টগুলি ব্যবহার করে grepএবং মূলত খুব কার্যত কাজ করে grep -v।

পার্থক্যটি হ'ল আপনি *Removeযতবার চান ততবার ব্যবহার করতে পারেন তবে *OnlyContainsআপনি কিছু বা অন্য কিছু বা অন্য কিছু চান একবার আপনাকে এটি ব্যবহার করতে হবে। সুতরাং একাধিক মান জন্য*OnlyContains = "testuser|testuser2|testuser3"

আপনি কি কোনও লিস্টসভারকে ইমেল স্থিতি বার্তাগুলি ফান্লিং করার কথা বিবেচনা করেছেন, সম্ভবত এমন একটি যা আকার এবং / অথবা সময়কাল / বয়সের প্রোগ্রামেবল বৈশিষ্ট্যের উপর ভিত্তি করে হজম সরবরাহ করতে পারে? যোগাযোগটি ইমেল করা লগিংয়ের পরিমাণ হ্রাস করে না, তবে ইমেলিংয়ের ফ্রিকোয়েন্সি হ্রাস করতে ব্যাচ করে পৃথক ইমেলের পরিমাণ নিয়ন্ত্রণ করতে পারে।

আমার সম্প্রতি এসএসডি সার্ভিস থেকে আউটপুটটি নিঃশব্দ করা দরকার। কিছু বিভাগ বেশ দীর্ঘ ছিল এবং বিস্তারিত স্তর সেট করে নিয়ন্ত্রণ করা যায়নি।

এটি কোনও আদর্শ সমাধান নয়, তবে আমি এসএসডি স্ক্রিপ্টটি এখানে থেকে অনুলিপি করে ওভাররাইড করে দিয়েছি : /usr/share/logwatch/scripts/services/sshdএখানে এখানে:/etc/logwatch/scripts/services/sshd

অবশ্যই, আপনাকে এখন সেই স্ক্রিপ্ট ফাইলটিতে কোনও আপডেট রাখতে হবে, তবে এটি আপনাকে আউটপুট কী হবে তার উপর খুব সূক্ষ্ম নিয়ন্ত্রণ দেয়। বিকল্পভাবে, আমি মনে করি আপনি logwatchকোনও সরঞ্জামের মাধ্যমে আউটপুটটি পাইপ করতে পারেন awkবা sedআপনি যা চান না তা ছড়িয়ে দিতে পারেন, তবে এটি আমার কাছে কঠিন বলে মনে হয়েছিল।

ইউএনএক্স এবং লিনাক্স স্ট্যাকেক্সচেঞ্জে আমার একই প্রশ্ন ছিল এবং আমি উত্তরটি এটাই আমার জন্য স্থির করেছিলাম:

আপনি রেঞ্জের প্যারামিটারটি এতে পরিবর্তন করে 1 দিনের পরিবর্তে 7 দিন দেখার জন্য লগওয়াচকে বলতে পারেন logwatch.conf:

Range = between -7 days and -1 days

আপনি logwatchসাপ্তাহিক ক্রোন ডিরেক্টরি থেকে দৈনিক cronডিরেক্টরিতে সরিয়ে প্রতিদিনের পরিবর্তে সাপ্তাহিক চালনা বলতে পারেন :

mv /etc/cron.daily/00logwatch /etc/cron.weekly/

@ জেফ শ্যাচলারকে ধন্যবাদ