Surveiller un fichier de log

sebtelecom · 09/03/2011, 11h16

Bonjour,

Je cherche une application pour Centos 5.5 qui permet de surveiller un fichier de log et de réaliser une action si il voit passer un mot-clé/phrase-clé entré sous regex.

J'ai trouvé quelques pistes sans résultats (LogWatch, logcheck, swatch)

On m'a aussi proposé de créer un script en partant de cette commande : "tail -f file.log | grep keyword" mais cela ne gère pas les regex et j'aurai préféré une application.

Je suis étonné de ne rien trouvé sur le net car cela me semble assez basique.

En gros ce que je cherche à faire :

Si message "WARNING ......" dans les logs
Faire : service ..... restart

D'avance merci !

zipe31 · 09/03/2011, 11h34

Citation:

Envoyé par sebtelecom

On m'a aussi proposé de créer un script en partant de cette commande : "tail -f file.log | grep keyword" mais cela ne gère pas les regex et j'aurai préféré une application.

Je suis étonné de ne rien trouvé sur le net car cela me semble assez basique.

En gros ce que je cherche à faire :

Si message "WARNING ......" dans les logs
Faire : service ..... restart

D'avance merci !

Salut,

Il faut utiliser "egrep" ou "grep -E"

man grep :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
-E, --extended-regexp
    Interpréter le MOTIF comme une expression rationnelle étendue (voir plus bas).

sebtelecom · 09/03/2011, 11h46

Merci, je vais voir de creuser de ce coté, mais j'aurais préféré utiliser une application qui gère cela, ça doit bien exister quand même...

Alek-C · 09/03/2011, 14h35

Peut-être avec monit ?

http://mmonit.com/monit/documentatio...ontent_testing

sebtelecom · 10/03/2011, 09h07

Merci, j'ai essayé de creuser "monit" mais il ne remplit pas exactement la fonction que je recherche, il peut stopper ou bien relancer un service mais je n'ai pas trouver comment exécuter des commandes personnalisées.

Mon grep fonctionne correctement, mais je ne sais pas finaliser mon script.

tail -f /var/log/asterisk/messages | egrep [WARNING].*:.*Received.*response:.*Forbidden.*from.*

J'aurai préféré trouver une application à installer et à paramétrer pour être sur de ne pas créer un script qui pourrait me planter le serveur si j'oublie une hypothèse, je ne suis pas expert en la matière.

Alek-C · 10/03/2011, 10h03

Petite remarque en passant : tu devrais échapper tes [] dans ton egrep et mettre des guillemets?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$ echo "[ERROR] toto.sh : Abort when Received 4 response: Forbidden access from 10.0.0.1" | egrep "[WARNING].*:.*Received.*response:.*Forbidden.*from.*"
[ERROR] toto.sh : Abort when Received 4 response: Forbidden access from 10.0.0.1
$ echo "[ERROR] toto.sh : Abort when Received 4 response: Forbidden access from 10.0.0.1" | egrep "\[WARNING\].*:.*Received.*response:.*Forbidden.*from.*"
$

Ceci mis à part, monit permet heureusement d'exécuter n'importe quelle commande !

Citation:

EXEC can be used to execute an arbitrary program and send an alert. If you choose this action you must state the program to be executed and if the program require arguments you must enclose the program and its arguments in a quoted string. You may optionally specify the uid and gid the executed program should switch to upon start. For instance:

exec "/usr/local/tomcat/bin/startup.sh"
as uid nobody and gid nobody

The uid and gid switch can be useful if the program to be started cannot change to a lesser privileged user and group. This is typically needed for Java Servers. Remember, if Monit is run by the superuser, then all programs executed by Monit will be started with superuser privileges unless the uid and gid extension was used.

Par exemple (extrait de la doc monit) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
check file httpd.conf with path /etc/httpd/httpd.conf
       if changed timestamp
          then exec "/etc/init.d/httpd graceful"

Cet exemple surveille un changement de timestamp du fichier httpd.conf (causé par exemple par une modification que tu aurais faite) et relance httpd s'il la détecte...

Tu pourrais donc faire ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
check file messages with path /var/log/asterisk/messages
       if match "\[WARNING\].*:.*Received.*response:.*Forbidden.*from.*" then exec "/some/script"

09/03/2011, 11h16	#1
sebtelecom Invité régulier Inscription : mars 2011 Messages : 3 Détails du profil Informations forums : Inscription : mars 2011 Messages : 3 Points : 6 Points : 6	Surveiller un fichier de log Bonjour, Je cherche une application pour Centos 5.5 qui permet de surveiller un fichier de log et de réaliser une action si il voit passer un mot-clé/phrase-clé entré sous regex. J'ai trouvé quelques pistes sans résultats (LogWatch, logcheck, swatch) On m'a aussi proposé de créer un script en partant de cette commande : "tail -f file.log \| grep keyword" mais cela ne gère pas les regex et j'aurai préféré une application. Je suis étonné de ne rien trouvé sur le net car cela me semble assez basique. En gros ce que je cherche à faire : Si message "WARNING ......" dans les logs Faire : service ..... restart D'avance merci !
	10

09/03/2011, 11h46	#3
sebtelecom Invité régulier Inscription : mars 2011 Messages : 3 Détails du profil Informations forums : Inscription : mars 2011 Messages : 3 Points : 6 Points : 6	Merci, je vais voir de creuser de ce coté, mais j'aurais préféré utiliser une application qui gère cela, ça doit bien exister quand même...
	10

09/03/2011, 14h35	#4
Alek-C Membre Expert Alexis Intégrateur d'Exploitation Inscription : février 2003 Messages : 876 Détails du profil Informations personnelles : Nom : Alexis Âge : 32 Localisation : France Informations professionnelles : Activité : Intégrateur d'Exploitation Secteur : Biens de consommation Informations forums : Inscription : février 2003 Messages : 876 Points : 1 619 Points : 1 619	Peut-être avec monit ? http://mmonit.com/monit/documentatio...ontent_testing
	11

10/03/2011, 09h07	#5
sebtelecom Invité régulier Inscription : mars 2011 Messages : 3 Détails du profil Informations forums : Inscription : mars 2011 Messages : 3 Points : 6 Points : 6	Merci, j'ai essayé de creuser "monit" mais il ne remplit pas exactement la fonction que je recherche, il peut stopper ou bien relancer un service mais je n'ai pas trouver comment exécuter des commandes personnalisées. Mon grep fonctionne correctement, mais je ne sais pas finaliser mon script. tail -f /var/log/asterisk/messages \| egrep [WARNING].:.Received.response:.Forbidden.from. J'aurai préféré trouver une application à installer et à paramétrer pour être sur de ne pas créer un script qui pourrait me planter le serveur si j'oublie une hypothèse, je ne suis pas expert en la matière.
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email