Apr 26 15:30:53 only_you xinetd[528]: FAIL: ftp libwrap
from=211.69.197.1
Apr 26 15:40:00 only_you CROND[1388]: (root) CMD
(/usr/local/etc/logcheck.sh)
Apr 26 15:40:00 only_you CROND[1388]: (root) CMD
(/usr/local/etc/logcheck.sh)
Apr 26 15:40:00 only_you CROND[1390]: (root) CMD ( /sbin/rmmod -as)
Apr 26 15:40:00 only_you CROND[1390]: (root) CMD ( /sbin/rmmod -as)
Apr 26 15:30:53 only_you xinetd[528]: FAIL: ftp libwrap
from=211.69.197.14.swatchSWATCH (The Simple WATCHer and filer) 是Todd Atkins开发的用于实时监视日
志的PERL程序 。Swatch利用指定的触发器监视日志记录,当日志记录符合触发器条件
时,swatch会按预先定义好的方式通知系统管理员 。Swatch非常容易安装 。它是一个PERL程序,无需编译 。Swatch有一个很有用的安装
脚本,将所有的库文件、手册页和PERL文件复制到相应目录下 。安装完成后,只要创建
一个配置文件,就可以运行程序了 。Swatch的下载网址,最新的版本为3.0.1。下载后
也放到了/backup目录 。4.1 安装以root用户身份登录,[root@only_you /root]# tar zxvf /backup/swatch-3.0.1.tar.gz
[root@only_you /root]# cd swatch-3.0.1现在的版本需要perl 5和Time::HiRes, Date::Calc,Date::format, file::Tail.
模块,系统自带的perl可能不包括,没关系,它的安装程序会自己到网上去找 。[root@only_you swatch-3.0.1]# perl Makefile.PL系统提示HiRes 1.12模块没有安装,询问是否安装,回答y,接着系统提示Are you ready for manual configuration? [yes]敲n就会自动配置,然后它自己到网上去装东西,具体在干什么我也不清楚了 。装
完这个又说缺别的东西,还是让它自己去装 。试着执行一下./swatch,如果没有错误信
息就说明安装成功了 。4.2 配置swatchrcswathrc文件的格式如下# Bad login attempts
watchfor /INVALID|REPEATED|INCOMPLETE/
echo
bell 3
mail=only_you@linuxaid.com.cn
# Machine room temperature
watchfor /WizMON/
echo inverse
bellwatchfor后跟/pattern/,其中的"pattern"代表一个swatch将要进行搜索匹配的
正则表达式,也就是我们的触发器,下面紧跟的以“Tab”开头的是当表达式匹配时所
要执行的动作,Swatch允许指定包括显示、email、呼叫或任何指定的执行文件 。上面
第一个watchfor的含义是找到/INVALID|REPEATED|INCOMPLETE/后把信息显示到屏幕
上,响铃,同时向only_you@linuxaid.com.cn发MAIL 。详细的正则表达式的格式请参考
相应的文档 。缺省情况下,swatch认为swatchrc文件为~/.swatchrc,可以通过运行时指定参数
来改变,如果未找到swatchrc文件,则使用缺省的配置watchfor = /.*/
echo = random4.3 测试Swatch启动时可以带很多参数,但使用通常如下格式启动它就可以了:/usr/local/bin/swatch -c /var/log/syslogrc -t /var/log/syslog &-c参数用于指定配置文件,-t参数指定实时监视的日志文件,"&"使swatch在后台
运行 。启动后,swatch产生子进程,因此swatch是以两个进程运行的,在停止swatch时
必须杀掉两个进程 。-t参数是用tail –f filename,从文件的末尾开始查找,如果想查找整个文件,
则应该使用-f filename 。现在让我们来实验一下,在swatch程序所在的目录下建立swatchrc文件,内容如下
:watchfor = /FAILED/
echo=random执行./swatch –c swatchrc –f /var/log/authlog,所有登录失败的记录就会显
示出来,并且还用不同的颜色来显示 。Apr 26 17:43:34 only_you login[2344]: FAILED LOGIN 1 FROM cjm FOR dsf,
Authentication failure
Apr 27 09:55:50 only_you login[932]: FAILED LOGIN 1 FROM (null) FOR
推荐阅读
- 在UNIX 系统下得到字符点阵信息
- UNIX进程之间的通信
- 2 SCO UNIX讲座
- SCO UNIX系统故障特征、分析及解决
- 在Unix终端上实现多屏功能
- 口令篇 UNIX系统的安全
- unixware和unix openserver比较二
- Cisco路由器配置信息在Unix下的备份、恢复与更新
- SCO UNIX基础讲座--第十二讲:使用 TCP/IP
- UNIX操作系统tar命令之隐患及解决方法