目前,有很多工具都是用来监督登录文件的。知名的常用工具是swatch,它能够被用来发送基于登录文件的某些字符串的提醒。
但是由于它有部分的限制,开发者就创建了另外一个叫做LogSurfer的工具。相比于swatch,
因为你需要创建与你网络相关的规则,所以安装LogSurfer+只需少量时间。首先,从LogSurfer和LogSurfer+源网页上下载工具;接着,进行编辑和安装。
安装完成之后,你开始创建规则。规则是基于与你所进行的各种行为相匹配的常规表达式,比如"ignore," "exec"(运行一个程序),"rule"(主要地创建一个新规则)等。
这是关于规则的简单例子,忽略了登录消息 “上次消息重复xx次”.
'last message repeated' - - - 0
ignore
这是规则的句法:
match_regexnot_match_regexstop_regexnot_stop_regex timeout [continue] \ action
比如,在任何一台总机上登录ssh,你可以使用如下规则:
'^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0
open "$2 sshd login" - 500 1200 600
report "/usr/local/bin/mailop \"ssh login on $2 for $4\" \"$2 sshd login\"
如果更复杂的话,这个规则会运行/usr/local/bin/mailop脚本发送消息,表明ssh登录发生在特定主机上并且来自从一个特定用户。
你可以看到各式各样的(比如,$2, $4,等等),均象征着匹配的平常表达式. $2对应第二个匹配的regexp,而$4对应第四个匹配的regexp,这就是在匹配的登录列规则下,跟机器名称和用户名的相互对应。这是一个制作一个新关系的规则的例子。
首次安装LogSurfer+,可能有点困难,特别是在你不熟悉的常规表达式的情况下。核查emf's的LogSurfer配置网页来获取另外一些例子和正使用的规则,他们中包括许多规则的例子。
