サーバのログ監視ツールを使いこなそう:Linux管理者への道(4)(2/3 ページ)
swatchによるログの常時監視
ログを監視して、特定の文字列が出力されると管理者へ知らせるツールとして「swatch」があります。syslogdのマニュアルには「異常なログをメールで送信するようでは手遅れである」と書かれていますが、実際問題としては対応が遅れることになってもメールで異常を確認できる方が良い環境もあると思われます。
また、ログをリアルタイムで監視しているため、不正アクセスされてローカルのログの改ざんが行われた際も、swatchが起動していれば必要な情報を転送しておくことなどが可能です。このように、swatchを使えばセキュリティと運用面で有効な仕組みを作ることができます。
swatchのインストール
swatchの最新のバージョンは3.0.4です(2002年11月2日現在)。http://www.oit.ucsb.edu/~eta/swatch/からswatch-3.0.4.tar.gzファイルをダウンロードします。
また、swatchはPerlで記述されたプログラムであり、Perl5(注)のほかに、
- Date::Calc
- Date::Parse
- File::Tail
- Time::HiRes
の4つのモジュールが必要です。CPANのサイト(Perlのフリーモジュールがダウンロードできる)http://search.cpan.org/から上記の4モジュールをダウンロードします。上記サイトにアクセスすると、トップページが検索画面になっています。各モジュールを検索してダウンロードします。
2002年11月現在の最新モジュールファイルは以下になります。
wgetあるいはWebブラウザを利用してダウンロードしましょう。
ではインストールです。各Perlモジュールのインストール方法は同じです。ここでは、ダウンロードしたファイルを保存したディレクトリを$SOURCEとし、Date::Calcを例に説明します。
$ tar zxvf $SOURCE/Date-calc-5.3.tar.gz |
| 注:make testで正常にコンパイルが完了していることを確認します。 |
4つのモジュールをインストールしたら、swatchをインストールします。
$ tar zxvf $SOURCE/swatch-3.0.4.tar.gz |
| 注:make testで正常にコンパイルが完了していることを確認します。 |
swatchの設定
swatchの設定ファイルは、デフォルトでは~/.swatchrcです。swatchには設定ファイルのサンプルが含まれているので、このサンプルファイルを規定のディレクトリにコピーしてひな型ファイルとして利用します。
なお、サンプルファイルには、
- $SOURCE/swatch-3.0.4/examples/swatchrc.monitor
- $SOURCE/swatch-3.0.4/examples/swatchrc.personal
の2種類があります。
swatchrc.monitorには、サーバへの不正アクセスやハードの発熱、システムのクラッシュや停止、再起動の監視を行うためのサンプル設定が記述されています。
swatchrc.personalでは、swatchrc.monitorの内容に加えて、特定プログラムの実行監視とそれ以外のすべてのログをコンソール上に表示する設定が行われています。swatchrc.monitorの内容はおおむねswatchrc.personalにも設定されているため、swatchrc.personalをコピーして編集します。これをホームディレクトリ(注)に「.swatchrc」としてコピーします。
# cp $SOURCE/swatch-3.0.4/examples/swatchrc.personal ~/.swatchrc |
設定ファイルで指示する内容は、監視する文字列および文字列発見時の処理方法です。上から下へ、記述された「パターン」にマッチしているかどうかを順番にチェックしていきます。パターンにマッチすると、それに対応する「アクション」を実行して終了します。
設定ファイルの書式は以下のようになります。
watchfor /パターン/ |
1.パターン
監視したい文字列を、watchforの後に「/」で挟んで記述します。
ここで記述するパターンにはPerlの正規表現を使用することができます。swatchで一般的に使用される正規表現として、「faile|error」などのように「|」で区切ってfaileかerrorをマッチさせるパターン、「[Ll]inux」のように記述してLinuxとlinuxの両方にマッチさせるパターン、任意の1文字を表す「.」を「a.c」のように文字間に記述してaで始まりcで終わる3文字の文字列にマッチさせるパターンがあります。「/faile/,/error/」のように区切ることで、複数のパターンを指定することもできます。パターンの最後に「/faile/i」のように「i」を付ければ、パターンの大文字小文字を区別しなくなります。
また、watchforの代わりにignoreを指定して、特定の文字列を含む行を無視させることも可能です。なお、ignoreはwatchforより上に記述します。
2.アクション
アクションには、パターンがマッチした場合の処理を記述します。指定できるアクションには、以下のようなものがあります。
| アクション | 説明 |
|---|---|
| echo [modes] | ターミナルにメッセージを表示。modesにより表示形式を変更可能 |
| bell [N] | beep音をN回鳴らす。数字を指定しなければ1回 |
| exec command | 指定したコマンドを実行する。コマンドの引数として「$0」を指定すると、表示されるログそのものを意味する。「$N」は、N番目のフィールドの文字列を意味する |
| mail [=address:address:…][,subject=your_text_here] | 指定されたアドレスにメールを送信する。メールは複数指定できるほか、サブジェクトの指定が可能。アドレスを指定しなければswatchを起動したユーザーに送信される |
| pipe command[,keep_open] | パイプでコマンドに結果を渡す。keep_openを指定すると異なるパイプが実行されるか、swatchが終了するまでパイプが実行されたままになる |
| write [user:user:…] | swatchを実行しているサーバにログインしているユーザーに、writeコマンドを使用して結果を送信する |
| throttle hours:minutes:seconds,[use=message|regex] | 一度検出されたパターンが再度検出された場合、検出を抑えることができる。標準では「use=messges」が指定されており、同じmessagesは検出されない。「use=regex」を指定すると、同じ正規表現の場合は検出されない |
| continue | 通常は、マッチするパターンが検出されると指定されたアクションが実行されて終了するが、continueが指定されている場合はさらにマッチするパターンの検出が行われる |
| quit | マッチするパターンを検出するとswatchが終了する |
echoのmodesには、以下のようなものを指定できます。
| modes | 説明 |
|---|---|
| normal | 通常の表示 |
| bold | 太字で表示 |
| underscore | 下線で表示 |
| blink | 点滅で表示 |
| inverse | 反転して表示 |
| [color] | black、red、green、yellow、blue、magenta、cyan、whiteの色で表示 |
| [color_h] | black_、red_h、green_h、yellow_h、blue_h、magenta_h、cyan_h、white_hの色で反転 |
| random | 上記のものをランダムに使用 |
| 表2 echoに指定できるmodes 注:コンソールによっては、表示形式が正常に反映されないものがあります。 | |
swatchrc.personalをコピーした.swatchrcを基に、設定ファイルを作成します。もちろん、使用するプログラムやディストリビューションによって出力されるログは異なりますし、監視すべき内容も変わってきます。ここでは設定例を挙げてみます。
#login |
| 注:一部Red Hat Linux専用の記述があります。 |
swatchの起動
swatchの設定が終了したら、swatchを実行します。バックグラウンドで動作させるために、「&」を引数に実行します。
# swatch & |
sshやtelnetなどで、わざと認証に失敗してみましょう。メッセージがコンソールに表示されるのが確認できます。
今回のように、特にオプションを指定しない場合は、
swatch --config-file=~/.swatchrc --tail-file=/var/log/messages |
のようなオプション指定で実行され、/var/log/messagesファイルを監視します。/var/log/messagesファイルが存在しない場合は、
swatch --config-file=~/.swatchrc --tail-file=/var/log/syslog |
が実行されてmessagesの代わりに/var/log/syslogを監視します。
これらのオプションの詳細は、表3を参照してください。
|
オプション
|
別オプション
|
説明
|
|
swatchの制御
|
||
| --config-file=filename | -c filename | 設定ファイルを指定。デフォルトでは${HOME]}/.swatchrc |
| --help | swatchの情報を表示 | |
| --input-record-separator=regular_expression | 改行コードの指定。デフォルトはCR | |
| --restart-time=[+]hh:mm[am|pm} | -r [+]hh:mm[am|pm] | swatchを再起動する時間をhh:mmで指定する。am/pmを指定しなければ24時間制とみなされる。+を指定した場合は、現在から指定した時間が経過した後に再起動される |
| --script-dir=/path/to/directory | swatchを起動するとスクリプトファイルが作成される。この際の作成場所を指定。誰もが書き込める/tmpディレクトリなどを指定してはならない | |
| --version | -V | バージョンを表示する |
|
対象ファイルの設定
|
||
| --tail-file=filename | -t filename | 監視対象となるログのファイル名を指定 |
| --read-pipe=command | -p command | コマンドの実行結果をswatchにパイプする |
| --examine=filename | -f filename | 設定ファイルに適合する内容をスキャンする。ファイルの最後まで確認をすると終了する |
|
そのほか
|
||
| --dump-script[=filename] | デバッグ用のオプション。swatchスクリプトを実行する代わりに、指定したファイルを標準出力に書き出す | |
| 表3 swatchのオプション | ||
一般的なswatchの使用方法は、
# swatch -c [設定ファイル] -t[ログファイル] |
です。
ログファイルはmessagesファイルだけではなく、テキストファイルとして読み出せるものであればどのファイルでも指定できます。複数のログファイルを異なる内容で監視したい場合は、swatchを複数起動します。オプションの指定を変更して、swatchを複数回実行しましょう。
~/swatchrcが存在しない状態で、オプションで設定ファイルを指定しなかった場合は、
watchfor /.*/ |
の内容で実行されます。「.*」は、正規表現において「任意の文字が1文字以上連続すること」を意味します。よって、あらゆる行をランダムな形式で表示します。
システムの起動時にswatchを自動起動させたい場合は、/etc/rc.localなどに以下の行を追記します。
swatch -c /root/.swatchrc -t /var/log/messages & |
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。