本节提供的示例介绍如何在 sysedge.cf 文件中使用 watch logfile 指令将日志监视器条目添加到日志监视器表。
示例:搜索 pop 连接尝试
以下示例指示代理将条目添加到日志监视器表中表索引 15 处,以搜索系统上的 pop 连接尝试,并在出现匹配项时发送重要级别为警告的陷阱:
watch logfile 15 0x00 /var/log/syslog 'popper' 'NOTICE - pop connection' '' 1 warning
示例:搜索 su 尝试
以下示例指示代理将条目添加到日志监视器表中表索引 16 处,以搜索系统上的 su 尝试,并在出现匹配项时发送重要级别为严重的陷阱:
watch logfile 16 0x02 /var/adm/messages 'su.*fail' 'WARNING - su attempt' '/local/bin/mail2admin' 5 critical
指定代理不应发送陷阱。 相反,代理应该调用指定的操作命令。
示例:监控目录大小和内容
以下示例指示代理将条目添加到日志监视器表中表索引 17 处,以监控 /var/tmp 目录的大小和文件数。
watch logfile 17 0x00 /var/tmp 'Temporary directory' '' 5
可以创建自主监视器条目,以设置大小 (logMonitorLogFileSize) 和内容 (logMonitorLogFileCount) 属性的阈值。
以下示例指示代理将条目添加到日志监视器表中表索引 232 处,以监控目录大小和文件数。
watch logfile 232 0x1800 'C:\testdir23' '' Monitor for dir testdir23' '' 1 warning
标志 0x0800 可用于以非递归方式监控目录。 此外,还创建自主监视器条目,以设置大小 (logMonitorLogFileSize) 和内容 (logMonitorLogFileCount) 属性的阈值。
monitor oid 1.3.6.1.4.1.546.11.1.1.8.232 2323232 0x8 30 absolute >= 10 'Directory Size is more than 10 bytes' '' 0 (or) monitor oid logMonitorLogFileSize.232 2323232 0x8 30 absolute >= 10 'Directory Size is more than 10 bytes' '' 0 monitor oid logMonitorLogFileCount.232 2323231 0x8 30 absolute >= 10 'FileCount is more than 10' '' 0 (or) monitor oid 1.3.6.1.4.1.546.11.1.1.16.232 2323231 0x8 30 absolute >= 10 'File Count is more than 10' '' 0
示例:在多行上搜索模式
以下示例指定一个正则表达式,以便指示代理将条目添加到日志监视器表中表索引 20 处。 该条目用于在受监控的日志文件中搜索在多行上出现的文本。 在此示例中,文本“WARNING:”作为未指定的行数出现在文本“Invalid login attempt”前面。
watch logfile 20 0x00 /var/log/syslog '/^WARNING:(.*\n)*Invalid login attempt/m' 'NOTICE – Invalid login attempt' '' 1 warning
注意:此示例要求在使用策略配置控制设置或使用 SystemEDGE 配置文件(如果在传统模式下)的代理上激活 Perl 兼容的正则表达式 (PCRE)。
|
版权所有 © 2013 CA。
保留所有权利。
|
|