Logging SEC（简单事件相关器）：处理多个日志文件_Logging

Logging SEC（简单事件相关器）：处理多个日志文件

logging

Logging SEC（简单事件相关器）：处理多个日志文件,logging,Logging,几天来，我一直在为UNIX系统寻找一个好的日志文件处理器我的情况如下：我们有一个IDM系统，可以生成大量日志（20+）我需要找到这些日志中的错误并加以处理（最好是，我通过nagios发送）每个日志文件可能包含相同的错误（可能发生相同的错误（同时在多个日志文件中）我不想被垃圾邮件和通知，这些日志每30秒产生一个通知我试图用logpp解决这个问题，但是logpp没有给我时间窗口和抑制相同消息的选项。所以我转到SEC，在那里你有很多强大的选择遗憾的是，SEC似乎一次打开所有文件

几天来，我一直在为UNIX系统寻找一个好的日志文件处理器

我的情况如下：

我们有一个IDM系统，可以生成大量日志（20+）
我需要找到这些日志中的错误并加以处理（最好是，我通过nagios发送）
每个日志文件可能包含相同的错误（可能发生相同的错误（同时在多个日志文件中）
我不想被垃圾邮件和通知，这些日志每30秒产生一个通知

我试图用logpp解决这个问题，但是logpp没有给我时间窗口和抑制相同消息的选项。所以我转到SEC，在那里你有很多强大的选择

遗憾的是，SEC似乎一次打开所有文件，并且不区分日志文件。这意味着，如果我在10分钟窗口内抑制某个正则表达式条件10分钟，则没有其他日志文件可以生成相同的消息。所以SEC基本上不在乎错误来自哪里。我有：）

我似乎只有两个选择：

每次我找到某个内容时，将其写入一个前面带有logname的常规日志文件，并编写一个带有regex调整的新条件（意思是：^logname.*error$）。但这是。。。20个日志的工作量太大

或者：我使用一个脚本，将找到的条目发送到带有时间戳的日志，然后自己计算窗口，这违背了SEC的目的：）

现在我的问题是：有没有人遇到同样的问题？你是如何解决的，与SEC或其他日志文件观察者？我似乎找不到一个适合我所有需要的好计划。还是我错了？我错过什么了吗

谢谢，

Tom

SEC支持通过文件上下文匹配来自特定来源的事件。文件上下文是一个或多个文件的逻辑标识符，可在SEC规则中用于限制匹配范围。可以使用--intcontexts命令行选项设置文件上下文

如果要在正则表达式匹配后检索输入日志文件名，则有一个特殊的匹配变量$+{u inputsrc}，它由SEC自动设置，可以与$1、$2和其他正则匹配变量一起使用

此外，欢迎您将您的问题发布到SEC邮件列表中，大部分用户讨论都在该列表中进行。该列表也最有可能为您提供一个快速的答案

亲切问候,，

risto

谢谢你的建议risto！我很高兴有出路，因为SEC似乎是适合我的工具。我将在邮件列表上发布这个，因为我需要一些例子来让我的头脑围绕它！谢谢