[ トラックバック(0) ]
Counter: 18660,
today: 3,
yesterday: 5
Swatchパターン&ルール記述例 
パターンマッチした場合の処理例を下記に記述します。ご参考下さい。
■記述書式
watchfor /パターン/
アクション1
アクション2
※/パターン/ 内に/var/log/ 内のログの内容を記述します。ここで記述する
パターンにはPerlの正規表現を使用することができます。
※アクション[N] にはパターンマッチした場合の処理を記述します。下記の設定例では指定されたアドレス対し、メールを送信するという条件を記述しました。
■設定例 (vi /root/.swatchrcを編集)
※下記例は/var/log/messages 内のログに対しパターンマッチさせる記述例 です。基本的にはこれを他のログでも使いまわすことが可能だと思います。
# Personal Swatch configuration file
#
# Alert me of bad login attempts and find out who is on that system
#watchfor /INVALID|REPEATED|INCOMPLETE/
# Important program errors
#login
watchfor /login.*session opened|LOGIN ON/i
mail=swatch,subject=TELNET_Session_Opend_Log (user)
watchfor /su(pam_unix)|session opened for user root/i
mail=swatch,subject=TELNET_Session_Opend_Log (root)
watchfor /login.*FAILED LOGIN|authentication failure/i
mail=swatch,subject=LOGIN_Failed_Log (user)
watchfor /su.*authentication failure/i
mail=swatch,subject=LOGIN_Failed_Log (root)
#ftp
watchfor /ftp.*session opened/i
mail=swatch,subject=FTP_Session_Opend_Log
#ssh
watchfor /sshd.*session opened/i
mail=swatch,subject=SSH_Session_Opend_Log
※上記の絞込みで管理者(swatchユーザ)宛にメール配信を行うことができます。
