Surveillance en temps réel de fichiers de log

Le mercredi 9 juillet 2014, 16:05:24 Olivier a écrit :

Bonjour,

’jour,

Quel outil conseillez-vous pour surveillez en temps réel la
présence de mots-clés dans des fichiers de log et génà ©rer une
alerte par email ou déclencher un script ?

Il y a de nombreux logiciels qui font l’analyse pour toi :
aptitude search "?tag(log-analyzer)"
En général, ces outils ne sont pas immédiats (ce que j e
suppose être la signification que tu donnes à « temps rà ©el »).
(Mais ils sont « temps réels » au sens où leur temp s de réaction
est majoré (ils passent par cron).)

Pour une réaction immédiate, tu peux facilement faire envoy er
à rsyslog certains messages (par facility) dans un tube nommé
qui pourra être lu par un programme simple.

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/9244967.KSDX6BJSn0@earendil

--001a1133da6617b10a04fdc3c1e9
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Le 9 juillet 2014 16:27, Sylvain L. Sauvage <Sylvain.L.Sauvage@free.fr> a
écrit :

Le mercredi 9 juillet 2014, 16:05:24 Olivier a écrit :
> Bonjour,

’jour,

> Quel outil conseillez-vous pour surveillez en temps réel la
> présence de mots-clés dans des fichiers de log et génà ©rer une
> alerte par email ou déclencher un script ?

Il y a de nombreux logiciels qui font l’analyse pour toi :
aptitude search "?tag(log-analyzer)"

Oui en effet, avant de poser ma question j'avais lu des choses sur
logsurfer, swatch et d'autres.
Un retour d'expérience sur l'un d'eux aurait été parfait pou r moi pour
partir dans la bonne direction.

En général, ces outils ne sont pas immédiats (ce que je
suppose être la signification que tu donnes à « temps rà ©el »).

Par temps réel, j'entends "ne pas attendre la rotation des logs pour
alerter".
Par exemple, un délai de 3mn entre l'écriture dans le fichier log et
l'exécution du script est parfaitement acceptable dans mon cas.

(Mais ils sont « temps réels » au sens où leur temps de réaction
est majoré (ils passent par cron).)

Pour une réaction immédiate, tu peux facilement faire envoyer
à rsyslog certains messages (par facility) dans un tube nommé
qui pourra être lu par un programme simple.

OK

--
Sylvain Sauvage

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/9244967.KSDX6BJSn0@earendil

--001a1133da6617b10a04fdc3c1e9
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

<div dir="ltr"><br><div class="gmail_extra"><br><br><div class="gmail _quote">Le 9 juillet 2014 16:27, Sylvain L. Sauvage <span dir="ltr">&lt;< a href="mailto:Sylvain.L.Sauvage@free.fr" target="_blank">Sylvain.L.Sau vage@free.fr</a>&gt;</span> a écrit :<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1p x #ccc solid;padding-left:1ex">Le mercredi 9 juillet 2014, 16:05:24 Olivier a écrit :<br>
&gt; Bonjour,<br>
<div><div class="h5"><br>
’jour,<br>
<br>
&gt; Quel outil conseillez-vous pour surveillez en temps réel la<br>
&gt; présence de mots-clés dans des fichiers de log et gén érer une<br>
&gt; alerte par email ou déclencher un script ?<br>
<br>
</div></div>  Il y a de nombreux logiciels qui font l’analyse pour toi :<br>
aptitude search &quot;?tag(log-analyzer)&quot;<br></blockquote><div><br></d iv><div>Oui en effet, avant de poser ma question j&#39;avais lu des choses sur logsurfer, swatch et d&#39;autres.<br></div><div>Un retour d&#39;expà ©rience sur l&#39;un d&#39;eux aurait été parfait pour moi pour partir dans la bonne direction.<br>
</div><div> </div><blockquote class="gmail_quote" style="margin:0p t 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
  En général, ces outils ne sont pas immédiats (ce que je<br>
suppose être la signification que tu donnes à « temps rà ©el »).<br></blockquote><div> </div><div>Par temps réel, j &#39;entends &quot;ne pas attendre la rotation des logs pour alerter&quot;. <br></div><div>Par exemple, un délai de 3mn entre l&#39;écriture dans le fichier log et l&#39;exécution du script est parfaitement acce ptable dans mon cas.<br>
</div><div><br> </div><blockquote class="gmail_quote" style="margi n:0pt 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex ">
(Mais ils sont « temps réels » au sens où leur temps de réaction<br>
est majoré (ils passent par cron).)<br>
<br>
  Pour une réaction immédiate, tu peux facilement faire envo yer<br>
à rsyslog certains messages (par facility) dans un tube nommé<br>
qui pourra être lu par un programme simple.<br></blockquote><div><br>< /div><div>OK <br></div><blockquote class="gmail_quote" style="margin:0p t 0pt 0pt 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class="HOEnZb"><font color="#888888"><br>
--<br>
 Sylvain Sauvage<br>
<br>
--<br>
Lisez la FAQ de la liste avant de poser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a><br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:debian-user-french-REQUEST@lists.debian.org">debian- user-french-REQUEST@lists.debian.org</a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto:listmaster@lists.d ebian.org">listmaster@lists.debian.org</a><br>
Archive: <a href="https://lists.debian.org/9244967.KSDX6BJSn0@earendil" t arget="_blank">https://lists.debian.org/9244967.KSDX6BJSn0@earendil</a><b r>
<br>
</font></span></blockquote></div><br></div></div>

--001a1133da6617b10a04fdc3c1e9--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/CAPeT9jhk+_ohYv-RspXtGA5LY_ygQR78dteAuyG6idOZF0a54A@mail.gmail.com

Bonjour,


Le mercredi 09 juillet 2014, Olivier a écrit...

Quel outil conseillez-vous pour surveillez en temps réel la présence de
mots-clés dans des fichiers de log et générer une alerte par email ou
déclencher un script ?

J'ai déjà signalé cet outil sur la liste : Ossec

Il est livré avec une batterie de règles de tests, mais rien n'empêche
d'ajouter ses propres règles.

Il est capable d'une "réponse active", donc l'exécution d'un script
lorsqu'une règle est touchée.

--
jm

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/20140709161348.GA19371@espinasse