可以监控系统和应用程序日志,以获取有关用户、系统和应用程序行为的详细信息。
下表给出了可监控的日志文件以及可搜索的正则表达式(以便监控安全、设备故障、系统容量、Windows 安全以及应用程序和系统)的建议:
|
描述 |
要监控的日志文件 |
正则表达式 |
|---|---|---|
|
警告-后台进程核心 |
/var/log/daemon-log |
core dumped |
|
警告-后台进程核心 |
/var/log/syslog |
core dumped |
|
监控 SU 尝试 |
/var/adm/messages |
su.*fail |
|
监控 rlogin |
/var/log/syslog |
in.rlogin |
|
监控 telnet |
/var/log/syslog |
in.telnet |
|
监控 rsh |
/var/log/syslog |
in.rsh |
|
警告-非法指令,后台进程 |
/var/log/daemon-log |
.*llegal.*nstruction |
|
垃圾邮件中继尝试 |
/var/log/syslog |
Relaying denied |
|
监控 Linux 防火墙中的 DENY 数据包 |
/var/log/messages |
DENY |
注意:本节中介绍的日志文件针对不同的操作系统会有所不同。 提供的这些示例仅供参考。 您应该针对自己的操作系统改变日志文件。
下表给出了可在系统日志 (/var/adm/messages) 中搜索的正则表达式(以便监控设备故障)的建议:
|
描述 |
正则表达式 |
|---|---|
|
严重: Badtrap 错误 |
.*BAD TRAP.* |
|
错误: SCSI 错误 |
.*SCSI.*[E,e]rror.* |
|
错误: SCSI 错误 |
.*SCSI.*failed.* |
|
错误: SCSI 错误 |
.*SCSI.*hung.* |
|
严重: badsimms 错误 |
.*SIMM.* |
|
严重: badsimms 错误 |
.*BAD.*SIMM.* |
|
严重: 内存错误 |
.*[M,m]emory [E,e]rror.* |
|
错误: 磁盘错误 |
.*disk not responding.* |
|
错误: 磁盘错误 |
.*[D,d]isk.*[E,e]rror.* |
|
“警告: 磁盘碎片错误” |
.*optimization changed.* |
|
错误: 磁盘错误 |
.*corrupt label.* |
|
错误: I/O 错误 |
.*I/O.*[E,e]rror.* |
|
错误: 磁盘读取/写入错误 |
.*Error for Command:.*[read,write].* |
|
错误: 介质错误 |
.*Media Error.* |
|
信息: 串行端口错误 |
.*zs[0,1,2]: silo overflow.* |
|
警告: 载波错误 |
.*no carrier.* |
|
警告: 链接已关闭 |
.*Link Down - cable problem?.* |
|
错误: SDS 错误 |
.*[NOTICE,WARNING,PANIC]: md:.* |
下表给出了可在 /var/adm/messages 中搜索的正则表达式(以便监控系统容量)的建议:
|
描述 |
正则表达式 |
|---|---|
|
严重: 内存错误 |
*[O,o]ut of [M,m]emory.* |
|
严重: 内存错误 |
.*[F,f]ile system full.* |
|
错误: 磁盘空间错误 |
.*No space left on device.* |
下表给出了可在 Windows 事件日志中监控的日志和表达式(以便监控 Windows 安全)的建议:
|
描述 |
事件日志 |
安全类型 |
正则表达式 |
|---|---|---|---|
|
随机密码黑客 |
安全 |
全部 |
.*bad |
|
误用权限 |
安全 |
全部 |
.*[user rights,group management,security change, restart,shutdown] |
|
不正确的文件访问 |
安全 |
失败 |
.*[read,write] |
|
不正确的打印机访问 |
安全 |
失败 |
|
|
病毒爆发警告: 程序文件已更新 |
安全 |
全部 |
.*write.*[exe,dll,com] |
|
安全策略更改 |
应用程序 |
信息 |
.*[S,s]ecurity policy |
下表给出了可在 Windows 事件日志中监控的日志和表达式(以便监控应用程序和系统)的建议:
|
描述 |
事件日志 |
安全类型 |
正则表达式 |
|---|---|---|---|
|
应用程序错误或失败 |
应用程序 |
全部 |
.*[F,f]ail|.*[E,e]rror |
|
应用程序加载问题 |
应用程序 |
全部 |
.*[L,l]oad.*[P,p]roblem |
|
安装了新软件 |
应用程序 |
全部 |
.*[INSTALL,Install,install] |
|
初始化过程中服务器进程失败 |
应用程序 |
全部 |
.*4131 |
|
磁盘故障和错误 |
全部 |
全部 |
.*[D,d]isk |
|
网络适配器错误 |
全部 |
错误 |
.*[N,n]etwork [A,a]dapter |
|
版权所有 © 2013 CA。
保留所有权利。
|
|