Скобель для обработки бревен: Обработка бревна под скобель

Logstash — это бесплатный инструмент с открытым исходным кодом для управления событиями и журналами. Вы можете использовать его для сбора журналов, их анализа и сохранения для дальнейшего использования. Этот инструмент идет рука об руку как с Elasticsearch, так и с Kibana. Их совместное использование может стать мощной комбинацией для инструмента анализа журналов. Все они доступны на GitHub.

Возможности Logstash

Поскольку это открытый исходный код, Logstash полностью бесплатен для использования. У них также есть платная лицензия, доступная для тех, кому нужны дополнительные функции. Вы можете использовать elasticsearch, kibana и logstash вместе. Kibana позволяет вам более легко исследовать и визуализировать данные журнала, которые вы вводите с помощью logstash, а elasticsearch дает вам мощные возможности поиска и аналитики в реальном времени.

8. Sumo Logic

Sumo Logic специализируется на машинном обучении для унифицированных журналов и показателей, чтобы в реальном времени получать информацию о потребностях приложений и новых возможностях для клиентов.Они были основаны в 2010 году, и их облачный сервис анализирует более 100 петабайт данных в день.

Функции Sumo Logic

Sumo Logic имеет бесплатных и платных планов по цене от 90 долларов в месяц. Они предлагают уникальную функцию, которую они называют машинным обучением. Это позволяет вам анализировать петабайты данных и извлекать из них уроки, чтобы быстрее выявлять закономерности. Их инструмент использует расширенную аналитику, которая помогает анализировать большие объемы данных с помощью индексации и фильтрации.Их интуитивно понятная панель инструментов позволяет выявлять аномалии, настраивая предварительно определенные пользователем фильтры показателей.

9. Papertrail

Papertrail — это скорее служба управления журналами, но они также предлагают несколько замечательных функций, которые ускоряют анализ ваших журналов! Некоторые из их клиентов включают GitHub, Instacart, Product Hunt и DNSimple.

Характеристики Papertrail

Papertrail имеет бесплатных и платных планов по цене от 7 долларов в месяц. Некоторые из их функций включают интуитивно понятный веб-просмотрщик журналов и мощные инструменты командной строки.У них есть REST API и долгосрочные архивы с S3. Если вы разработчик, вам, вероятно, понравится то, что делает Papertrail! Вы можете выполнять поиск в реальном времени, искать по времени, контенту, элегантный поиск, сохранять результаты поиска и даже раскрашивать журналы по-разному. У них даже есть виджет панели управления OS X и интеграция с вашими любимыми инструментами, такими как Slack и Zendesk.

10. Fluentd

Fluentd — еще один инструмент анализа данных с открытым исходным кодом, который позволяет унифицировать журналы из нескольких источников, чтобы лучше и проще анализировать их.Некоторые из самых известных пользователей Fluentd включают Microsoft, Amazon AWS и Atlassian.

Функции Fluentd

Fluentd позволяет разделить несколько источников данных, таких как журналы доступа, журналы приложений, системные журналы и т. Д., И объединить их в один уровень ведения журналов. Затем вы можете фильтровать, буферизовать и направлять эти журналы в соответствующие системы (например, Hadoop, Elasticsearch, AWS и т. Д.). У пользователей Fluentd также есть 300+ плагинов для подключения к множеству источников данных. Он может делать это, сохраняя при этом небольшой объем памяти, всего 30-40 МБ.

Сводка

Существует множество инструментов анализа журналов, которые помогут вам лучше понять данные журнала и проанализировать их более эффективным образом. Это может помочь оптимизировать рабочий процесс DevOps и сэкономить ваше время в следующий раз, когда возникнет проблема. Меньше всего вам захочется часами копаться в неорганизованных данных журнала, пытаясь найти то, что вам нужно.

Пропустили ли мы какие-нибудь действительно важные инструменты анализа журналов? Если да, не стесняйтесь комментировать ниже. Нам особенно нравятся новые инструменты с открытым исходным кодом!

5 полезных инструментов анализа журналов с открытым исходным кодом

Мониторинг сетевой активности может быть утомительной работой, но для этого есть веские причины.Во-первых, он позволяет находить и исследовать подозрительные логины на рабочих станциях, устройствах, подключенных к сетям, и серверах, при этом выявляя источники злоупотреблений со стороны администратора. Вы также можете отслеживать установку программного обеспечения и передачу данных для выявления потенциальных проблем в режиме реального времени, а не после того, как был нанесен ущерб.

Эти журналы также имеют большое значение для обеспечения соблюдения вашей компанией Общего регламента защиты данных (GDPR), который применяется к любой организации, действующей в Европейском Союзе.Если у вас есть веб-сайт, доступный для просмотра в ЕС, вы имеете право.

Ведение журнала — как отслеживание, так и анализ — должно быть фундаментальным процессом в любой инфраструктуре мониторинга. Файл журнала транзакций необходим для восстановления базы данных SQL-сервера после аварии. Кроме того, отслеживая файлы журналов, группы DevOps и администраторы баз данных (DBA) могут поддерживать оптимальную производительность базы данных или находить доказательства несанкционированной активности в случае кибератаки. По этой причине важно регулярно отслеживать и анализировать системные журналы.Это надежный способ воссоздать цепочку событий, которая привела к возникшей проблеме.

Сегодня доступно довольно много средств отслеживания журналов и инструментов анализа с открытым исходным кодом, что упрощает выбор правильных ресурсов для журналов активности, чем вы думаете. Сообщество бесплатного программного обеспечения с открытым исходным кодом предлагает проекты журналов, которые работают со всеми типами сайтов и практически с любой операционной системой. Вот пять из лучших, которые я использовал, в произвольном порядке.

Грейлог

Graylog была запущена в Германии в 2011 году и сейчас предлагается либо как инструмент с открытым исходным кодом, либо как коммерческое решение.Он разработан как централизованная система управления журналами, которая принимает потоки данных с различных серверов или конечных точек и позволяет вам быстро просматривать или анализировать эту информацию.

Graylog заслужила положительную репутацию среди системных администраторов благодаря простоте масштабируемости. Большинство веб-проектов начинаются с малого, но могут расти в геометрической прогрессии. Graylog может балансировать нагрузку в сети внутренних серверов и обрабатывать несколько терабайт данных журнала каждый день.

ИТ-администраторы сочтут интерфейс Graylog простым в использовании и надежным по своим функциям.Graylog основан на концепции панелей мониторинга, которая позволяет вам выбирать, какие показатели или источники данных вы считаете наиболее ценными, и быстро отслеживать тенденции с течением времени.

Когда происходит нарушение безопасности или производительности, ИТ-администраторы хотят иметь возможность как можно быстрее отследить симптомы до первопричины. Функция поиска в Graylog упрощает это. Он имеет встроенную отказоустойчивость, которая может выполнять многопоточный поиск, поэтому вы можете анализировать несколько потенциальных угроз вместе.

Nagios

Nagios начался с одного разработчика еще в 1999 году и с тех пор превратился в один из самых надежных инструментов с открытым исходным кодом для управления данными журналов.Текущая версия Nagios может интегрироваться с серверами под управлением Microsoft Windows, Linux или Unix.

Его основным продуктом является сервер журналов, цель которого — упростить сбор данных и сделать информацию более доступной для системных администраторов. Механизм сервера журналов Nagios будет собирать данные в режиме реального времени и передавать их в мощный инструмент поиска. Интеграция с новой конечной точкой или приложением проста благодаря встроенному мастеру настройки.

Nagios чаще всего используется в организациях, которым необходимо контролировать безопасность своей локальной сети.Он может контролировать ряд событий, связанных с сетью, и помогает автоматизировать рассылку предупреждений. Nagios можно даже настроить для запуска предопределенных сценариев при выполнении определенного условия, что позволяет решать проблемы до того, как вмешается человек.

В рамках сетевого аудита Nagios будет фильтровать данные журнала в зависимости от географического положения, из которого они происходят. Это означает, что вы можете создавать комплексные информационные панели с картографической технологией, чтобы понять, как проходит ваш веб-трафик.

Упругий штабель («ELK Stack»)

Elastic Stack, часто называемый стеком ELK, является одним из самых популярных инструментов с открытым исходным кодом среди организаций, которым необходимо анализировать большие наборы данных и анализировать свои системные журналы (и это тоже личный фаворит).

Его основное предложение состоит из трех отдельных продуктов: Elasticsearch, Kibana и Logstash:

• Как следует из названия, Elasticsearch разработан, чтобы помочь пользователям находить совпадения в наборах данных с использованием широкого диапазона языков и типов запросов. Скорость — преимущество этого инструмента номер один. Его можно расширить до кластеров из сотен серверных узлов, чтобы с легкостью обрабатывать петабайты данных.

• Kibana — это инструмент визуализации, который работает вместе с Elasticsearch, чтобы позволить пользователям анализировать свои данные и создавать мощные отчеты.Когда вы впервые устанавливаете движок Kibana на кластер серверов, вы получаете доступ к интерфейсу, который показывает статистику, графики и даже анимацию ваших данных.

• Последней частью стека ELK является Logstash , который действует как чисто серверный конвейер в базе данных Elasticsearch. Вы можете интегрировать Logstash с различными языками кодирования и API, чтобы информация с ваших веб-сайтов и мобильных приложений поступала непосредственно в вашу мощную поисковую систему Elastic Stalk.

Уникальная особенность ELK Stack заключается в том, что он позволяет отслеживать приложения, созданные на основе установок WordPress с открытым исходным кодом. В отличие от большинства готовых инструментов журнала аудита безопасности, которые отслеживают журналы администратора и PHP, но мало что еще, ELK Stack может просеивать журналы веб-сервера и базы данных.

Плохое отслеживание журналов и управление базой данных — одна из наиболее частых причин низкой производительности веб-сайта. Отсутствие регулярной проверки, оптимизации и пустых журналов базы данных может не только замедлить работу сайта, но также может привести к полному сбою.Таким образом, ELK Stack — отличный инструмент для любого набора инструментов разработчика WordPress.

LOGalyze

LOGalyze — это организация, базирующаяся в Венгрии, которая создает инструменты с открытым исходным кодом для системных администраторов и экспертов по безопасности, которые помогают им управлять журналами серверов и превращать их в полезные точки данных. Его основной продукт доступен для бесплатной загрузки как для личного, так и для коммерческого использования.

LOGalyze разработан для работы как массивный конвейер, в котором несколько серверов, приложений и сетевых устройств могут передавать информацию с помощью метода протокола простого доступа к объектам (SOAP).Он предоставляет интерфейс, в котором администраторы могут войти в систему, чтобы отслеживать сбор данных и начать их анализ.

Из веб-интерфейса LOGalyze вы можете запускать динамические отчеты и экспортировать их в файлы Excel, PDF или другие форматы. Эти отчеты могут быть основаны на многомерной статистике, управляемой серверной частью LOGalyze. Он даже может объединять поля данных на серверах или в приложениях, чтобы помочь вам определить тенденции в производительности.

LOGalyze разработан для установки и настройки менее чем за час.Он имеет встроенную функциональность, позволяющую собирать данные аудита в форматах, требуемых нормативными актами. Например, LOGalyze может легко запускать различные отчеты HIPAA, чтобы гарантировать, что ваша организация соблюдает санитарные нормы и соответствует им.

Fluentd

Если в вашей организации есть источники данных, расположенные в разных местах и ​​средах, ваша цель должна заключаться в их максимальной централизации. В противном случае вам будет сложно контролировать производительность и защищаться от угроз безопасности.

Fluentd — это надежное решение для сбора данных с полностью открытым исходным кодом. Он не предлагает полноценного внешнего интерфейса, но вместо этого действует как уровень сбора, помогающий организовать различные конвейеры. Fluentd используется некоторыми из крупнейших компаний по всему миру, но может быть реализован и в небольших организациях.

Самым большим преимуществом Fluentd является его совместимость с наиболее распространенными технологическими инструментами, доступными сегодня. Например, вы можете использовать Fluentd для сбора данных с веб-серверов, таких как Apache, датчиков со смарт-устройств и динамических записей из MongoDB.Что вы будете делать с этими данными, полностью зависит от вас.

Fluentd основан на формате данных JSON и может использоваться вместе с более чем 500 плагинами, созданными известными разработчиками. Это позволяет вам распространить данные журнала на другие приложения и повысить эффективность анализа с минимальными ручными усилиями.

Итог

Если вы еще не используете журналы активности из соображений безопасности, соответствия государственным требованиям и измерения производительности, измените это.На рынке есть множество плагинов, которые предназначены для работы с множеством сред и платформ, даже в вашей внутренней сети. Не ждите серьезного инцидента, чтобы оправдать упреждающий подход к обслуживанию и надзору за журналами.

Простая обработка файлов журнала в Python

На днях я оказался в неудачном положении, когда мне нужно было сканировать необработанные журналы сервера, чтобы попытаться собрать некоторую информацию о редкой проблеме.Открыть эти файлы журналов в текстовом редакторе и выполнить быстрый текстовый поиск было не лучшим вариантом: файлы журналов имели миллионы строк журнала, были размером более 500 МБ, а текстовые редакторы просто отказались от попыток поиска, множественного выбора, и извлеките нужные мне строки.

Недавно я освоил Python (первоначально как требование для работающего проекта), и, хотя мне еще предстоит многому научиться, я обнаружил, что это потрясающий инструмент для написания быстрых небольших решений досадных проблем. Вроде отладки логов сервера.

Пару минут и 22 строки Python позже: я взял несколько миллионов строк журналов сервера и извлек около 50 сообщений, которые имели отношение к делу. Поэтому я решил потратить несколько дополнительных минут и опубликовать этот пост, чтобы побудить других попробовать Python, с примером (довольно распространенного) варианта использования.

parse_logs.py:

  импорт ОС
импорт ре

# Регулярное выражение, используемое для сопоставления релевантных логов (в данном случае определенного IP-адреса)
line_regex = re.скомпилировать (r ". * fwd = \" 12.34.56.78 \ ". * $")

# Выходной файл, в который будут скопированы совпадающие логлайны.
output_filename = os.path.normpath ("output / parsed_lines.log")
# Перезаписывает файл, убедитесь, что мы начинаем с пустого файла
с open (output_filename, "w") как out_file:
    out_file.write ("")

# Открыть выходной файл в режиме добавления
с open (output_filename, "a") как out_file:
    # Открыть входной файл в режиме чтения
    с open ("test_log.log", "r") как in_file:
        # Перебрать каждую строку журнала
        для строки in_file:
            # Если строка журнала соответствует нашему регулярному выражению, вывести на консоль и вывести файл
            если (line_regex.поиск (строка)):
                линия печати
                out_file.write (строка)

  

Если вы хотите увидеть, как этот пример работает на вашем компьютере:

Пример выполнения:

Разработчик программного обеспечения. Начинающий шезлонг у бассейна.

ТОП 7 лучших бесплатных инструментов управления журналами — обзоры программного обеспечения, мнения и советы

Инструменты управления журналами, которые я здесь предлагаю, либо бесплатны, либо имеют бесплатный уровень обслуживания.Хотя найти выгодную сделку — это фантастика, это не всегда делает ее лучшим выбором для конкретного случая использования. Я понимаю, что ИТ-бюджеты не бесконечны. Но не позволяйте только соображениям бюджета держать вас в ловушке решений для управления журналами, которые в конечном итоге не отвечают вашим потребностям и не достигают ваших целей.

Имейте в виду, что бесплатные инструменты по-прежнему потребуют вложений времени и ресурсов для изучения, установки, настройки и использования. Недостающие функции для этих бесплатных инструментов, возможно, придется создать с помощью поддержки сообщества или собственной ИТ-группы.В некоторых случаях вы не сможете получить необходимую частоту опросов или срок хранения данных, не перейдя на платный уровень обслуживания. В других случаях платное программное обеспечение для мониторинга журналов имеет функции, которые, по вашему мнению, вам не нужны сегодня, но в будущем вы могли бы понять, что могли бы использовать эти функции, если бы они были доступны. Ознакомьтесь с моим обзором лучших инструментов управления журналами для локальных и облачных сред, доступных сегодня.

Лучшие бесплатные инструменты для управления журналами

Один из более чем трех десятков бесплатных инструментов от SolarWinds ^® , Event Log Consolidator, делает именно то, что следует из названия — он берет журнал событий Windows из нескольких систем (до пяти) в вашей сети и объединяет их в одну. репозиторий, а затем выделяет закономерности и тенденции во всех системах, чтобы помочь вам выявить постоянные, но систематически рассредоточенные проблемы.

Другой продукт из стабильного бесплатного инструмента SolarWinds, он будет получать прерывания или системный журнал от пяти систем, а затем воздействовать на эти сообщения путем пересылки, предупреждения или сохранения данных с использованием правил фильтрации.

ManageEngine — еще один известный производитель инструментов сетевого администрирования среди ИТ-специалистов.Эта утилита собирает, управляет, анализирует, сопоставляет и просматривает данные журналов из более чем 700 источников, используя комбинацию сбора журналов без агентов и на основе агентов, а также позволяет вам напрямую импортировать журналы, если вы хотите. Принимая 25 000 сообщений в секунду и обнаруживая атаки в реальном времени, он также может быстро выполнять криминалистический анализ и снижать потенциальное воздействие взлома. Обратите внимание, что бесплатная версия ограничена пятью источниками журналов.

Между бесплатными и платными вариантами существует категория решений, которые предлагают подмножество функций бесплатно, но вам нужно перейти на платный уровень, чтобы пользоваться всеми преимуществами (и обычно поддержкой, а иногда даже обновлениями).Но для некоторых ИТ-специалистов все, что им нужно, — это бесплатный уровень, а если им нужны дополнительные функции, обновление не требует установки с заменой и копированием.

Graylog — это бесплатная платформа для управления журналами с открытым исходным кодом, которая может анализировать, нормализовать и дополнять журналы и данные о событиях. Его правила обработки позволяют вам установить несколько параметров для маршрутизации сообщений, внесения в черный или белый список и даже изменения («обогащения») сообщений журнала перед их перемещением на следующий этап обработки.Graylog также имеет надежную панель мониторинга, которая позволяет отфильтровывать метрики из сообщений журнала, а затем отображать их различными способами, включая диаграммы и графики. Конечно, также возможны предупреждения и уведомления. Единственное различие между версией с открытым исходным кодом (бесплатной) и платной — это добавление автономного архивирования, журналов аудита пользователей, поддержки и «быстрого запуска», чтобы вы могли быстрее приступить к работе.

XpoLog собирает файлы журналов из выбранных источников и будет отслеживать эти местоположения / файлы, включенные в его область.После централизации данных они объединяются в базу данных XpoLog для обработки. Эти записи можно искать и фильтровать для анализа, а результаты можно записывать в файлы, анализируя по дате или другим критериям. XpoLog анализирует данные из самых разных источников, включая журналы сервера Apache, журналы событий AWS, Windows и Linux, а также Microsoft IIS. Его можно установить в системах под управлением Mac OS X 10.11–10.13; Windows 8–10; Windows Server 2008 R2 — 2016; и любые дистрибутивы Linux с ядром 2.6 или новее. Также есть облачный вариант. Бесплатная версия позволяет обрабатывать до 1 ГБ данных в день, и система будет хранить эти данные в течение пяти дней. Отсюда платные уровни увеличивают либо объем данных журнала, которые могут быть обработаны, либо срок хранения, либо и то, и другое.

За счет использования дополнительных датчиков PRTG может расширить свое решение Network Monitor для мониторинга широкого спектра других целей. Для мониторинга и управления журналами доступны два разных датчика.Датчик журнала событий Windows API, как следует из названия, предназначен для сбора сообщений журнала событий Windows. Однако вместо того, чтобы запускать определенный тип сообщения или шаблон ключевого слова, этот датчик отслеживает частоту сообщений журнала и генерирует сигнал тревоги, если скорость достигает критического порога. Другой датчик, связанный с журналом, предназначен для системного журнала. Этот датчик собирает сообщения, а затем предупреждает либо о получении сообщения определенного типа, либо о том, что скорость сообщения определенного типа превышает пороговое значение.

Splunk хорошо известен в сообществах системного администрирования и мониторинга.Источники файлов журнала (будь то данные текстового файла, отправленные из удаленной системы, системный журнал, прерывание или какой-либо другой поток) агрегируются на сервере, на котором запущен Splunk, индексируются и сохраняются. Встроенная утилита сортировки и фильтрации данных, а также возможность предупреждать, записывать в файлы и т. Д. Бесплатная версия Splunk ограничена получением 500 МБ данных в день.

Анализ журналов Linux — полное руководство по ведению журналов

В ваших журналах Linux хранится много информации, но проблема состоит в том, чтобы знать, как ее извлечь.Для этого можно использовать ряд инструментов, от инструментов командной строки до более продвинутых инструментов аналитики, способных выполнять поиск по определенным полям, вычислять сводки, создавать диаграммы и многое другое.

В этом разделе мы покажем вам, как использовать некоторые из этих инструментов и как решения для управления журналами, такие как SolarWinds ^® Loggly ^® , могут помочь автоматизировать и оптимизировать процесс анализа журналов.

[button url = «search-with-grep»] [/ button]

Поиск с помощью Grep

Один из простейших способов анализа журналов — это поиск в текстовом формате с помощью grep.grep — это инструмент командной строки, который может искать совпадающий текст в файле или в выводе других команд. Он включен по умолчанию в большинство дистрибутивов Linux, а также доступен для Windows и Mac.

Чтобы выполнить простой поиск, введите строку поиска, а затем файл, который нужно найти. Здесь мы ищем в журнале аутентификации строки, содержащие «user hoover».

 $ grep "пользовательский пылесос" /var/log/auth.log
pam_unix (sshd: session): сессия, открытая для пользователя (uid = 0)
pam_unix (sshd: session): сессия закрыта для пользователя hoover 

Обратите внимание, что это возвращает строки, содержащие точное совпадение .Это делает его полезным для поиска, когда вы точно знаете, что ищете.

Регулярные выражения

Регулярное выражение (или регулярное выражение) — это синтаксис для поиска определенных текстовых шаблонов в файле. Регулярные выражения намного более гибкие, чем поиск по обычному тексту, поскольку позволяют использовать ряд методов помимо простого сопоставления строк. Они обеспечивают высокую степень контроля, но создание точного шаблона может оказаться трудным.

Например, предположим, что мы хотим найти попытки аутентификации на порту 4792.Простой поиск «4792» будет соответствовать порту, но он также может соответствовать метке времени, URL-адресу или другому номеру. В этом случае он соответствует журналу Apache, в URL-адресе которого оказалось 4792.

 $ grep "4792" /var/log/auth.log
Принятый пароль для пылесоса от порта 10.0.2.2 4792 ssh3
74.91.21.46 - - [06 / июн / 2019: 19: 44: 32 +0000] "GET /scripts/samples/search?q=4792HTTP/1.1" 404 545 "-" "-"
 

Чтобы предотвратить это, мы могли бы использовать регулярное выражение, которое возвращает только экземпляры 4792, которым предшествует «порт» и пустое пространство.Мы делаем это, используя технику, известную как позитивный взгляд назад. Наше выражение выглядит так (флаг -P указывает, что мы используем синтаксис регулярных выражений Perl).

 $ grep -P "(? <= Порт \ s) 4792" /var/log/auth.log
Принятый пароль для пылесоса от порта 10.0.2.2 4792 ssh3 

Объемный поиск

Использование объемного поиска возвращает количество строк до или после совпадения. Это обеспечивает контекст для каждого события, позволяя отслеживать события, которые привели к событию или сразу после него.Флаг -B указывает, сколько строк нужно вернуть до события, а флаг -A указывает количество строк после.

Например, давайте найдем попытки входа в систему с недопустимым именем пользователя и покажем соответствующие результаты. Мы видим, что пользователи, которые не могут войти в систему, также не проходят проверку обратного сопоставления. Это означает, что у клиента нет действительной записи обратного DNS, которая является обычным явлением для общедоступных подключений к Интернету. Это не означает, что ваш SSH-сервер уязвим, но это может означать, что злоумышленники активно пытаются получить к нему доступ.

 $ grep -B 3 -A 2 'Неверный пользователь' /var/log/auth.log
28 апреля 17:06:20 ip-172-31-11-241 sshd [12545]: проверка обратного сопоставления getaddrinfo для 216-19-2-8.commspeed.net [216.19.2.8] не удалась - ВОЗМОЖНАЯ ПОПЫТКА!
28 апреля 17:06:20 ip-172-31-11-241 sshd [12545]: Получено отключение от 216.19.2.8: 11: Пока, пока [preauth]
28 апреля 17:06:20 ip-172-31-11-241 sshd [12547]: недействительный пользовательский администратор из 216.19.2.8
28 апреля 17:06:20 ip-172-31-11-241 sshd [12547]: input_userauth_request: неверный администратор пользователя [preauth]
28 апреля 17:06:20 ip-172-31-11-241 sshd [12547]: Получено отключение от 216.19.2.8: 11: Пока, пока [преаут]
 

Хвост

Tail - это еще один инструмент командной строки, который может отображать последние изменения в файле в реальном времени. Это полезно для мониторинга текущих процессов, таких как перезапуск службы или тестирование изменения кода. Вы также можете использовать tail для печати последних нескольких строк файла или связать его с grep для фильтрации вывода из файла журнала.

 $ tail -f /var/log/auth.log | grep 'Недействительный пользователь'
30 апреля 19:49:48 ip-172-31-11-241 sshd [6512]: недопустимый пользовательский ubnt из 219.140.64.136
30 апреля 19:49:49 ip-172-31-11-241 sshd [6514]: недействительный пользовательский администратор из 219.140.64.136
 

Полное введение в grep и регулярные выражения выходит за рамки этого руководства, но вы можете найти дополнительные ресурсы в конце этого раздела.

[button url = "parse"] синтаксический анализ [/ button]

Огранка

Команда cut позволяет анализировать поля журналов с разделителями. Разделители - это символы, такие как знаки равенства или запятые, которые разделяют поля или пары "ключ-значение".

Допустим, мы хотим проанализировать пользователя из этого журнала.

 pam_unix (su: auth): ошибка аутентификации; logname = hoover uid = 1000 euid = 0 tty = / dev / pts / 0 ruser = hoover rhost = user = root 

Мы можем использовать команду cut вот так, чтобы получить восьмое совпадение. Этот пример находится в системе Ubuntu.

 $ grep "ошибка аутентификации" /var/log/auth.log | вырезать -d '=' -f 8
корень 

Фильтрация и анализ с помощью Awk

Фильтрация позволяет выполнять поиск по определенному значению поля вместо выполнения полнотекстового поиска. Это делает анализ журнала более точным, поскольку он игнорирует нежелательные совпадения из других частей сообщения журнала.Чтобы выполнить поиск по значению поля, вам необходимо сначала проанализировать свои журналы или, по крайней мере, иметь способ поиска на основе структуры событий. Для этого мы можем использовать awk.

Awk - это мощный инструмент командной строки, который предоставляет полный язык сценариев, поэтому вы можете более эффективно фильтровать и анализировать поля. Например, предположим, что мы хотим извлечь имя пользователя из всех неудачных попыток входа в систему. Наши журналы имеют следующий формат.

 24 марта 08:28:18 ip-172-31-11-241 sshd [32701]: input_userauth_request: недействительный пользователь-гость [preauth] 

Вот как можно использовать команду awk.Во-первых, мы используем регулярное выражение /sshd.*invalid user / для сопоставления недопустимых пользовательских строк sshd. Затем напечатайте девятое поле, используя разделитель по умолчанию (пробел), используя {print $ 9}. Это выводит имена пользователей.

 $ awk '/sshd.*invalid user / {print $ 9}' /var/log/auth.log
гость 

Фильтрация ошибок с помощью Awk

Одна из самых распространенных вещей, которые люди хотят видеть в своих журналах, - это ошибки. К сожалению, конфигурация системного журнала по умолчанию не выводит напрямую серьезность ошибок, что затрудняет их фильтрацию.

Есть два способа решить эту проблему. Во-первых, вы можете изменить конфигурацию rsyslog, чтобы вывести уровень серьезности в файл журнала, чтобы упростить чтение и поиск. В конфигурации rsyslog вы можете добавить шаблон с прим-текстом, например следующий.

 "<% pri-text%>:% timegenerated%,% HOSTNAME%,% syslogtag%,% msg% n" 

Этот пример дает вам вывод в следующем формате. Вы можете видеть, что серьезность этого сообщения - «ошибка»:

 : 11 марта 18: 18: 00, hoover-VirtualBox, su [5026] :, pam_authenticate: Ошибка аутентификации 

Вы можете использовать awk только для поиска сообщений об ошибках. В этом примере мы включаем некоторый окружающий синтаксис, специально предназначенный для этого поля.

 $ awk '/.err>/ {print}' /var/log/auth.log
: 11 марта 18: 18: 00, hoover-VirtualBox, su [5026] :, pam_authenticate: Ошибка аутентификации 

Хотя инструменты командной строки полезны для быстрого поиска небольших файлов, они плохо масштабируются для больших файлов или для нескольких систем.Системы управления журналами гораздо более эффективны при быстром поиске в больших объемах данных журналов. Мы обсудим системы управления журналами в следующем разделе.

Поиск с помощью систем управления журналами

Системы управления журналами упрощают процесс анализа и поиска в больших коллекциях файлов журналов. Они могут автоматически анализировать общие форматы журналов, такие как события системного журнала, журналы SSH и журналы веб-сервера. Они также индексируют каждое поле, чтобы вы могли быстро выполнять поиск в гигабайтах или даже терабайтах данных журнала.Они часто используют языки запросов, такие как Apache Lucene, для обеспечения более гибкого поиска, чем grep, с более простым синтаксисом поиска, чем регулярное выражение. Это экономит время и силы, поскольку вам не нужно создавать собственную логику синтаксического анализа для каждого уникального поиска.

Например, здесь мы собираем журналы с сервера Debian с помощью SolarWinds ^® Loggly ^® , облачной службы управления журналами. Вот пример сообщения журнала от sshd, которое автоматически анализирует пользовательское поле.

Неудачная попытка входа в систему, проанализированная Loggly.

Вы также можете выполнить собственный синтаксический анализ для нестандартных форматов. Используя производные поля, мы можем проанализировать неанализируемую часть сообщения, определив ее макет. Это позволяет нам индексировать каждое отдельное поле в неанализируемых данных вместо того, чтобы рассматривать его как одну строку. Например, мы можем создать новое поле с именем «auth_stage» и использовать его для хранения этапа процесса аутентификации, на котором произошла ошибка, который в этом примере является «preauth».

Просмотр производного поля в проводнике полей Loggly.

Фильтрация ошибок с помощью систем управления журналами

Системы управления журналами упрощают фильтрацию ошибок, поскольку они автоматически анализируют журналы для нас.