Linux Shell多日志监测与关联

我已经尝试了好几天了，但仍在挣扎

该脚本的目标是在多台服务器（尤其是29台）上执行实时日志监视，并关联服务器之间的登录失败记录。服务器日志将在每天23:59:59压缩，新日志从0点开始

我的想法是在每台服务器上使用

tail-f | grep“failed password”| tee集中式日志

，通过循环激活所有服务器名称，在后台运行，并将登录失败记录输出到集中式日志。但它不起作用。它创建了很多守护进程，一旦我终止脚本，这些守护进程就会变成僵尸

我也在考虑每隔几分钟做一次

tail

。但随着日志变大，处理时间也会增加。如何设置指向上一个

tail

停止位置的指针

---

因此，您能否建议一种更好的工作方式来进行多日志监视和关联。除非完全必要，否则不鼓励进行其他安装。

如果您的日志通过syslog，并且您使用的是

rsyslogd

，那么您可以在每台计算机上配置syslog，使用如下属性匹配将感兴趣的特定消息转发到一个（或两个）集中式日志服务器：

:msg, contains, "failed password"

---

有关如何设置可靠的syslog转发的更多详细信息，请参阅。

听起来不错，但我相信我们的组织使用syslog ng。syslog ng是否具有类似的功能？@user2404894是

syslog

及其后续版本自古以来就提供了此功能。我应该如何开始使用它？