debek

Asked: 2017-12-09 06:34:17 +0800 CST2017-12-09 06:34:17 +0800 CST 2017-12-09 06:34:17 +0800 CST

将具有特定短语的特定日志发送到我的邮件

772

我想将具有特定短语的特定日志发送到我的邮件。

例如：

ERROR LOG SOMETHING.COM IP XX.XXX.XXX.XXX PORT:2343 Bad XXXXXXX

如果上面的日志有 phase SOMETHING.COM，请将此日志发送到电子邮件。

有可能在logwatchor中kibana吗？或者也许是别的什么？

1 个回答

Voted

Best Answer

thrig
2017-12-09T07:02:05+08:002017-12-09T07:02:05+08:00
这可以通过简单的事件相关器和配置文件来完成

type=SingleWithThreshold ptype=SubStr pattern=SOMETHING.COM desc=SOMETHING.COM action=pipe '%s' /usr/bin/mail -s 'SOMETHING.COM' [email protected] window=86400 thresh=1

并被sec告知将包含上述内容的文件用于日志出现的文件（这将根据sec安装方式、是否有供应商包等而有所不同）。

window除非您喜欢为每个匹配的日志行处理成百上千的电子邮件消息，否则这一点相当重要；sec有其他方式汇总或总结结果；请参阅文档。
0

Web Analytics