当前位置:Linux教程 - Linux资讯 - 使用LogSurfer+在Linux上监督登录

使用LogSurfer+在Linux上监督登录

  目前,有很多工具都是用来监督登录文件的。知名的常用工具是swatch,它能够被用来发送基于登录文件的某些字符串的提醒。    但是由于它有部分的限制,开发者就创建了另外一个叫做LogSurfer的工具。相比于swatch,    因为你需要创建与你网络相关的规则,所以安装LogSurfer+只需少量时间。首先,从LogSurfer和LogSurfer+源网页上下载工具;接着,进行编辑和安装。    安装完成之后,你开始创建规则。规则是基于与你所进行的各种行为相匹配的常规表达式,比如"ignore," "exec"(运行一个程序),"rule"(主要地创建一个新规则)等。    这是关于规则的简单例子,忽略了登录消息 “上次消息重复xx次”.    'last message repeated' - - - 0    ignore    这是规则的句法:    match_regexnot_match_regexstop_regexnot_stop_regex timeout [continue] \ action    比如,在任何一台总机上登录ssh,你可以使用如下规则:    '^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0    open "$2 sshd login" - 500 1200 600    report "/usr/local/bin/mailop \"ssh login on $2 for $4\" \"$2 sshd login\"    如果更复杂的话,这个规则会运行/usr/local/bin/mailop脚本发送消息,表明ssh登录发生在特定主机上并且来自从一个特定用户。    你可以看到各式各样的(比如,$2, $4,等等),均象征着匹配的平常表达式. $2对应第二个匹配的regeXP,而$4对应第四个匹配的regexp,这就是在匹配的登录列规则下,跟机器名称和用户名的相互对应。这是一个制作一个新关系的规则的例子。    首次安装LogSurfer+,可能有点困难,特别是在你不熟悉的常规表达式的情况下。核查emf's的LogSurfer配置网页来获取另外一些例子和正使用的规则,他们中包括许多规则的例子。

 

 

(出处:http://www.sheup.com)