SwatchDog - Vigilador de archivos de registro simple en tiempo real en Linux

Swatchdog (el "Perro de reloj simple") Es un script Perl simple para monitorear archivos de registro activos en sistemas similares a unix como Linux. Observa sus registros en función de las expresiones regulares que puede definir en un archivo de configuración. Puede ejecutarlo desde la línea de comando o en el fondo, separado desde cualquier terminal utilizando la opción Modo Daemon.

Tenga en cuenta que el programa se llamó originalmente muestra de tela (el "Vigilante simple") Pero una solicitud de la Old Swiss Watch Company para un cambio de nombre vio al desarrollador cambiar su nombre a swatchdog.

Leer también: 4 Buenas herramientas de administración de registro de código abierto para Linux para Linux

En tono rimbombante, swatchdog ha crecido a partir de un guión para ver registros producidos por la instalación de Syslog de Unix, y puede monitorear casi cualquier tipo de registro.

Cómo instalar Swatch en Linux

El paquete swatchdog está disponible para instalar desde los repositorios oficiales de las distribuciones de Linux convencionales como un paquete "muestra de tela"A través de un administrador de paquetes como se muestra.

$ sudo apt install swatch [En Ubuntu/Debian] $ sudo yum instalación epel-release && sudo yum install swatch [En rhel/centos] $ sudo DNF Install Swatch [En Fedora 22+] 

Para instalar la mayoría de la última versión de swatchdog, Debe compilarlo desde la fuente utilizando los siguientes comandos en cualquier distribución de Linux.

$ git clon https: // github.com/Toddatkins/Swatchdog.git $ cd swatchdog/ $ perl makfile.PL $ Make $ sudo Make Install $ sudo Make RealClean 

Una vez que haya instalado el muestra de tela, Necesita crear su archivo de configuración (la ubicación predeterminada es /home/$ user/.swatchdogrc o .swatchrc), para determinar qué tipos de patrones de expresión para buscar y qué tipo de acción deben tomarse cuando se combina un patrón.

$ touch/home/tecmint/.swatchdogrc o $ touch/home/tecmint/.swatchrc 

Agregue su expresión regular en este archivo y cada línea debe contener una palabra clave y un valor (a veces opcional), separados por un espacio o un igual (=) firmar. Debe especificar un patrón y una (s) acción (s) para tomar cuando se combina un patrón.

Usaremos un archivo de configuración simple, puede encontrar más opciones en la página de SwatchDog Man, por ejemplo.

watchfor / sudo / echo rojo [correo electrónico protegido], temas = "comando sudo" 

Aquí, nuestra expresión regular es una cadena literal - "Sudo", significa cada vez que la cadena sudo apareció en el archivo de registro, se imprimiría en el terminal en texto rojo y correo Especifique la acción a tomar, que es hacer eco del patrón coincidente en el terminal y enviar un correo electrónico a la dirección especificada, receptivamente.

Después de haberlo configurado, SwatchDog lee el /var/log/syslog Registro de registro de forma predeterminada, si este archivo no está presente, se lee /var/log/mensajes.

$ Swatch [Sobre Rhel/Centos y Fedora] $ swatchdog [En Ubuntu/Debian] 

Puede especificar un archivo de configuración diferente utilizando el -C bandera como se muestra en el siguiente ejemplo.

Primero cree un directorio de configuración de Swatch y un archivo.

$ Mkdir Swatch $ Touch Swatch/Secure.confusión 

A continuación, agregue la siguiente configuración en el archivo para monitorear los intentos de inicio de sesión fallidos, intentos de inicio de sesión de SSH fallidos, inicios de sesión SSH exitosos desde el /var/log/seguro archivo de registro.

watchfor / fallado / eco rojo [correo electrónico protegido], temas = "Intento de inicio de sesión fallido"WatchFor / Root Login / Echo Red [correo electrónico protegido], temas ="Inicio de sesión de raíz exitoso"WatchFor /SSH.*: Contraseña fallida/ echo rojo [correo electrónico protegido], asunto = "Intento de inicio de sesión de SSH fallido"WatchFor /SSH.*: Sesión abierta para el usuario root/ echo rojo [correo electrónico protegido], temas = "Iniciar sesión de raíz SSH exitosa" 

Ahora ejecute la muestra especificando el archivo de configuración utilizando el -C y registrar el archivo usando -T bandera como se muestra.

$ swatchdog -c ~/swatch/secure.conf -t/var/log/secure 

Para ejecutarlo en segundo plano, use el --demonio bandera; En este modo, se separa de cualquier terminal.

$ swatchdog ~/swatch/secure.conf -t/var/log/secure --daemon 

Ahora para probar la configuración de la muestra, intente iniciar sesión en el servidor desde el terminal diferente, verá la siguiente salida impresa en el terminal donde se está ejecutando SwatchDog.

*** Versión de muestra 3.2.3 (PID: 16531) Comenzó en el Jue 12 de julio 12:45:10 BST 2018 12 de julio 12:51:19 Tecmint SSHD [16739]: Contraseña fallida para root desde 192.168.0.103 Puerto 33324 SSH2 12 de julio 12:51:19 Tecmint SSHD [16739]: Contraseña fallida para root desde 192.168.0.103 Puerto 33324 SSH2 Jul 12 12:52:07 Tecmint SSHD [16739]: Pam_unix (SSHD: Sesión): Sesión abierta para Root de usuario por (uid = 0) 12 de julio 12:52:07 TecMint SSHD [16739]: Pam_unix ( SSHD: Sesión): Sesión abierta para Root de usuario por (uid = 0) 

También puede ejecutar múltiples procesos de muestra para monitorear varios archivos de registro.

$ swatchdog -c ~/sitio1_watch_config -t/var/log/nginx/site1/access_log --daemon $ swatchdog -c ~/messages_watch_config -t/var/log/mensajes --daemon $ swatchdog -c ~/auth_watch_config -t /t/ var/log/auth.Log --Daemon 

Para obtener más información, consulte la página de SwatchDog Man.

$ hombre swatchdog 

SwatchDog SourceForge Repository: https: // SourceForge.net/proyectos/muestra/

Las siguientes son algunas guías adicionales de monitoreo de registro que encontrará útiles:

1. 4 formas de ver o monitorear archivos de registro en tiempo real
2. Cómo crear un servidor de registro centralizado con rsyslog
3. Los registros del servidor de monitoreo en tiempo real con "registro.herramienta io "
4. LNAV: mire y analice los registros de Apache desde un terminal de Linux
5. NGXTOP - Monitorear archivos de registro NGINX en tiempo real en Linux

Swatchdog es una herramienta simple de monitoreo de archivos de registro activo para sistemas similares a unix como Linux. Pruébelo y comparta sus pensamientos o haga cualquier pregunta en la sección de comentarios.