Linux Shell多日志监测与关联
我已经尝试了好几天了,但仍在挣扎 该脚本的目标是在多台服务器(尤其是29台)上执行实时日志监视,并关联服务器之间的登录失败记录。服务器日志将在每天23:59:59压缩,新日志从0点开始 我的想法是在每台服务器上使用Linux Shell多日志监测与关联,linux,bash,shell,tail,Linux,Bash,Shell,Tail,我已经尝试了好几天了,但仍在挣扎 该脚本的目标是在多台服务器(尤其是29台)上执行实时日志监视,并关联服务器之间的登录失败记录。服务器日志将在每天23:59:59压缩,新日志从0点开始 我的想法是在每台服务器上使用tail-f | grep“failed password”| tee集中式日志,通过循环激活所有服务器名称,在后台运行,并将登录失败记录输出到集中式日志。但它不起作用。它创建了很多守护进程,一旦我终止脚本,这些守护进程就会变成僵尸 我也在考虑每隔几分钟做一次tail。但随着日志变大,
tail-f | grep“failed password”| tee集中式日志
,通过循环激活所有服务器名称,在后台运行,并将登录失败记录输出到集中式日志。但它不起作用。它创建了很多守护进程,一旦我终止脚本,这些守护进程就会变成僵尸
我也在考虑每隔几分钟做一次tail
。但随着日志变大,处理时间也会增加。如何设置指向上一个tail
停止位置的指针
因此,您能否建议一种更好的工作方式来进行多日志监视和关联。除非完全必要,否则不鼓励进行其他安装。如果您的日志通过syslog,并且您使用的是
rsyslogd
,那么您可以在每台计算机上配置syslog,使用如下属性匹配将感兴趣的特定消息转发到一个(或两个)集中式日志服务器:
:msg, contains, "failed password"
有关如何设置可靠的syslog转发的更多详细信息,请参阅。听起来不错,但我相信我们的组织使用syslog ng。syslog ng是否具有类似的功能?@user2404894是
syslog
及其后续版本自古以来就提供了此功能。我应该如何开始使用它?