Logging SEC(简单事件相关器):处理多个日志文件
几天来,我一直在为UNIX系统寻找一个好的日志文件处理器 我的情况如下:Logging SEC(简单事件相关器):处理多个日志文件,logging,Logging,几天来,我一直在为UNIX系统寻找一个好的日志文件处理器 我的情况如下: 我们有一个IDM系统,可以生成大量日志(20+) 我需要找到这些日志中的错误并加以处理(最好是, 我通过nagios发送) 每个日志文件可能包含相同的错误(可能发生相同的错误 (同时在多个日志文件中) 我不想被垃圾邮件和通知,这些日志每30秒产生一个通知 我试图用logpp解决这个问题,但是logpp没有给我时间窗口和抑制相同消息的选项。 所以我转到SEC,在那里你有很多强大的选择 遗憾的是,SEC似乎一次打开所有文件
- 我们有一个IDM系统,可以生成大量日志(20+)
- 我需要找到这些日志中的错误并加以处理(最好是, 我通过nagios发送)
- 每个日志文件可能包含相同的错误(可能发生相同的错误 (同时在多个日志文件中)
- 我不想被垃圾邮件和通知,这些日志每30秒产生一个通知
TomSEC支持通过文件上下文匹配来自特定来源的事件。文件上下文是一个或多个文件的逻辑标识符,可在SEC规则中用于限制匹配范围。可以使用--intcontexts命令行选项设置文件上下文 如果要在正则表达式匹配后检索输入日志文件名,则有一个特殊的匹配变量$+{u inputsrc},它由SEC自动设置,可以与$1、$2和其他正则匹配变量一起使用 此外,欢迎您将您的问题发布到SEC邮件列表中,大部分用户讨论都在该列表中进行。该列表也最有可能为您提供一个快速的答案 亲切问候,,
risto谢谢你的建议risto!我很高兴有出路,因为SEC似乎是适合我的工具。我将在邮件列表上发布这个,因为我需要一些例子来让我的头脑围绕它!谢谢