負け犬管理者のための手抜きログフィルタ

「SYSLOGにはシステムを管理する上で重要な意味を持つメッセージが残されて います。管理者はSYSLOGに目を光らしておくべきでしょう」なとと解説書には 書いていますが、現実には忙しくてそんな時間などなく、SYSLOGすら読んでい ないという負け犬状態になっているUNIX系システム管理者がほとんどでしょう。 そのような負け犬管理者のために作ったBTNツールがlogfinderです。

  • BTN : Better Than Nothing
  • 異変などにより、通常とは違う頻度でメッセージが現われた時に、それをピッ クアップするのがこのlogfinderの役目です。理屈は簡単で、単位時間あたり のメッセージの頻度に対して標準偏差を計算した後、6σ(デフォルト)以上 の状態を見つけ、そのログを出力するものです。短くいってしまえば、いつよ り多く出ている辺りのログを表示するということです。

    $ sudo logfinder --logfile=/var/log/auth.log --showlog | less
    

    忙しくてシステム管理は完全に負け犬状態で、変な所があるかどうかだけを チェックしたい時は、単純に標準入力から処理します。出力されるのは日時と 出現頻度のみです。

    $ sudo cat /var/log/message | logfinder 
    09/26 21:30:00 00035
    

    統計を使っているので、入力データ量が少ない場合は計算できません。その場 合は、"Data size is too small"と出力されます。 したがってcronなどにセットする時は、前回のログも一緒に処理すると良いで しょう。

    30 1 * * * cat /var/log/syslog /var/log/syslog.0 | logfinder 
    
  • 対象となるフォーマットはsyslog、message、あるいはauthのようなSYSLOGフォーマットです。
  • Rubyで書かれているので、利用にはRubyが必要です。
  • logfinder --help で簡単なヘルプが出ます。
  • 右のファイルをセーブして下さい → logfinder.gz

    当然ながら、ログに残されている微妙なニュアンスや、あるいは頻度の(密度 の)低い情報はこのフィルタでは捨てられてしまいます。セキュリティに関し て使おうと思う人は、何もしていないよりはマシといった程度のものですので、 それをよく理解した上で使用してください。



    すずきひろのぶ Hironobu SUZUKI < hironobu -at- h2np -dot- net >

    $Id: index.html,v 1.1 2004/09/29 02:39:41 hironobu Exp hironobu $