目前,有很多工具都是用来监督登录文件的。知名的常用工具是swatch,它能够被用来发送基于登录文件的某些字符串的提醒。 但是由于它有部分的限制,开发者就创建了另外一个叫做LogSurfer的工具。相比于swatch, 因为你需要创建与你网络相关的规则,所以安装LogSurfer+只需少量时间。首先,从LogSurfer和LogSurfer+源网页上下载工具;接着,进行编辑和安装。 安装完成之后,你开始创建规则。规则是基于与你所进行的各种行为相匹配的常规表达式,比如"ignore," "exec"(运行一个程序),"rule"(主要地创建一个新规则)等。 这是关于规则的简单例子,忽略了登录消息 “上次消息重复xx次”. 'last message repeated' - - - 0 ignore 这是规则的句法: match_regexnot_match_regexstop_regexnot_stop_regex timeout [continue] \ action 比如,在任何一台总机上登录ssh,你可以使用如下规则: '^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0 open "$2 sshd login" - 500 1200 600 report "/usr/local/bin/mailop \"ssh login on $2 for $4\" \"$2 sshd login\" 如果更复杂的话,这个规则会运行/usr/local/bin/mailop脚本发送消息,表明ssh登录发生在特定主机上并且来自从一个特定用户。 你可以看到各式各样的(比如,$2, $4,等等),均象征着匹配的平常表达式. $2对应第二个匹配的regeXP,而$4对应第四个匹配的regexp,这就是在匹配的登录列规则下,跟机器名称和用户名的相互对应。这是一个制作一个新关系的规则的例子。 首次安装LogSurfer+,可能有点困难,特别是在你不熟悉的常规表达式的情况下。核查emf's的LogSurfer配置网页来获取另外一些例子和正使用的规则,他们中包括许多规则的例子。
(出处:http://www.sheup.com)