「SYSLOGにはシステムを管理する上で重要な意味を持つメッセージが残されて います。管理者はSYSLOGに目を光らしておくべきでしょう」なとと解説書には 書いていますが、現実には忙しくてそんな時間などなく、SYSLOGすら読んでい ないという負け犬状態になっているUNIX系システム管理者がほとんどでしょう。 そのような負け犬管理者のために作ったBTNツールがlogfinderです。
BTN : Better Than Nothing
異変などにより、通常とは違う頻度でメッセージが現われた時に、それをピッ クアップするのがこのlogfinderの役目です。理屈は簡単で、単位時間あたり のメッセージの頻度に対して標準偏差を計算した後、6σ(デフォルト)以上 の状態を見つけ、そのログを出力するものです。短くいってしまえば、いつよ り多く出ている辺りのログを表示するということです。
$ sudo logfinder --logfile=/var/log/auth.log --showlog | less
忙しくてシステム管理は完全に負け犬状態で、変な所があるかどうかだけを チェックしたい時は、単純に標準入力から処理します。出力されるのは日時と 出現頻度のみです。
$ sudo cat /var/log/message | logfinder 09/26 21:30:00 00035
統計を使っているので、入力データ量が少ない場合は計算できません。その場 合は、"Data size is too small"と出力されます。 したがってcronなどにセットする時は、前回のログも一緒に処理すると良いで しょう。
30 1 * * * cat /var/log/syslog /var/log/syslog.0 | logfinder
当然ながら、ログに残されている微妙なニュアンスや、あるいは頻度の(密度
の)低い情報はこのフィルタでは捨てられてしまいます。セキュリティに関し
て使おうと思う人は、何もしていないよりはマシといった程度のものですので、
それをよく理解した上で使用してください。
すずきひろのぶ Hironobu SUZUKI < hironobu -at- h2np -dot- net >
$Id: index.html,v 1.1 2004/09/29 02:39:41 hironobu Exp hironobu $