目前,有很多工具都是用來監督登錄文件的。知名的常用工具是swatch,它能夠被用來發送基於登錄文件的某些字符串的提醒。 但是由於它有部分的限制,開發者就創建了另外一個叫做LogSurfer的工具。相比於swatch, 因為你需要創建與你網絡相關的規則,所以安裝LogSurfer+只需少量時間。首先,從LogSurfer和LogSurfer+源網頁上下載工具;接著,進行編輯和安裝。 安裝完成之後,你開始創建規則。規則是基於與你所進行的各種行為相匹配的常規表達式,比如"ignore," "exec"(運行一個程序),"rule"(主要地創建一個新規則)等。 這是關於規則的簡單例子,忽略了登錄消息 “上次消息重復xx次”. 'last message repeated' - - - 0 ignore 這是規則的句法: match_regexnot_match_regexstop_regexnot_stop_regex timeout [continue] \ action 比如,在任何一台總機上登錄ssh,你可以使用如下規則: '^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0 open "$2 sshd login" - 500 1200 600 report "/usr/local/bin/mailop \"ssh login on $2 for $4\" \"$2 sshd login\" 如果更復雜的話,這個規則會運行/usr/local/bin/mailop腳本發送消息,表明ssh登錄發生在特定主機上並且來自從一個特定用戶。 你可以看到各式各樣的(比如,$2, $4,等等),均象征著匹配的平常表達式. $2對應第二個匹配的regeXP,而$4對應第四個匹配的regexp,這就是在匹配的登錄列規則下,跟機器名稱和用戶名的相互對應。這是一個制作一個新關系的規則的例子。 首次安裝LogSurfer+,可能有點困難,特別是在你不熟悉的常規表達式的情況下。核查emf's的LogSurfer配置網頁來獲取另外一些例子和正使用的規則,他們中包括許多規則的例子。