日志文件监控工具

Question

我们在寻找一种工具

• 可以解析日志文件并检查某个模式是否匹配。“错误”或“致命”包含在日志文件的一行中。
• 可以检查日志文件是否存在或是否在某个时间点被修改--这是检查一个例程是否已运行，因为这些日志文件总是生成日志文件。
• 如果这些支票被触发，给我们发一封电子邮件
• (可选)在给定时间内收集多个事件，以发送一封邮件而不是多封邮件。

非功能性需求

• 它必须安装在我们的机器上，因为我们运行在内部网和防火墙后面。尝试获取异常规则以使用基于internet的软件作为服务解决方案是不可行的。
• 我们只在Red服务器上运行，所以Windows解决方案不是一种选择
• (可选)我们正在运行多个服务器，因此拥有一个从所有这些服务器(代理)收集输入并协调警报的主服务器会更好。但我们也愿意在多台机器上安装和配置多个工具上的安装。
• (可选)开放源码，以便我们可以作出贡献，但封闭源码也是受欢迎的，而且如果要花钱的话，我们愿意支付。
• (可选)欢迎安装咨询

到目前为止我们看了什么

• 纳古斯 --从我们的角度来看，我们为我们想要的东西提供了太多。对我们来说，打碎那颗螺母就像一把大锤。
• 麋鹿堆加上观察者插件 -似乎完全满足了我们的需要。尽管如此，它也提供了太多的功能，我们不需要。我们不需要日志的历史记录，因此Kibana部分对我们不感兴趣，而整个elasticsearch服务器也有点多。

Answer 1

我像你一样搜索了一段时间的工具。

这个看起来不错：

https://hekad.readthedocs.org

以下是主要的功能(来自主页)：

Heka是Mozilla开发的开源流处理软件系统。Heka是一种用于数据处理的“瑞士军刀”工具，适用于各种不同的任务，例如：

• 从文件系统加载和解析日志文件。
• 接受用于聚合的statsd类型度量数据，并将其转发到上游时间序列数据存储区，如石墨或InfluxDB。
• 启动外部流程，从本地系统收集操作数据。
• 对任何流经河卡管道的数据进行实时分析、绘图和异常检测。
• 通过使用外部传输(如AMQP)或直接(通过TCP)将数据从一个位置传送到另一个位置。
• 将处理过的数据传送到一个或多个持久数据存储区。