2009年2月17日火曜日

client-localファイルの設定方法と仕様について

Hobbitクライアント側で監視したいログファイルを指定する

Hobbitサーバにあるclient-localファイルを、Hobbitクライアントが定期的に取得することで、
ログ監視およびファイル監視をしたいファイルの情報をHobbitサーバに通知することが可能となる。


■設定例
    log:/var/log/messages:10240 
    ignore MARK 
    trigger Oops

・LOG:FILENAME:SIZE (ログ:ファイルネーム:サイズ)
 Hobbitサーバに送るファイル(フルパス)と最大サイズを指定する。(単位はバイト)

・ignore:pattern (任意オプション)
 無視するパターンの行を指定する。(ノイズ除去)
 マッチする行はHobbitサーバに通知しない仕様

・tregger PATTERN (任意オプション)
 必ずHobbitサーバに通知する行を指定する
 ログサイズがSIZEで指定した最大サイズより大きくなるような場合に有効

■特別設定
通常はログファイルの情報を全てHobbitサーバに送信するが、パターンにマッチした行だけ送信したい場合はlinecountを使う。

■設定例
linecount:/var/log/messages 
diskerrors:I/O error.*device.*hd 
badlogins:Failed login

(シスログの中からディスクエラー、ログイン失敗の情報のみHobbitサーバに通知する)

■ファイルの状態監視設定
 ファイルのグループ、オーナー、サイズ、パーミッション、チェックサム監視が可能

 file:/var/log/messages[:HASH]
 デフォルトではハッシュ値は計算されません。ハッシュ値(md5、SHA1、rmd160)

■ディレクトリ、サブディレクトリのサイズ監視設定
 dir:DIRECTORYNAME

Hobbitサーバ上のlog項目で参照することが出来る。

■設定例
dir:`find /var/log -maxdepth 1 -type d`


【Q&A】
Q.Hobbitサーバの設定を変更した場合はいつクライアントに反映される?
A.Hobbitクライアントの起動サイクル5-10分程度。

Q.ディレクトリサイズの監視はどうやっているの?
A.Hobbitクライアントがdu -kコマンドを実施しています。(単位はKB)

Q.ファイル監視って便利そうですね?
A.ファイル監視等ハッシュ値を計算するためにリソースのオーバーヘッドが大幅に増加します。
外部からの侵入によるファイル書き換え、改ざん検知など、特別なサーバにのみ設定することを想定しています。

Q.ファイル監視は複数設定することが可能?
A.複数のファイルを監視することは可能ですが項目は一つなので、
 どのファイルでエラーとなっているか非常に分かりずらい。⇒カスタム監視にしたほうがよいでしょう

2009年2月5日木曜日

ログ監視の設定方法と仕様について

■ログ監視をするにはclient-local.cfgファイルとhobbit-clients.cfgファイルの両方を設定する必要があります。

・client-local.cfg        (Hobbitクライアント側:監視したいログファイルを指定する)
・hobbit-clients.cfg    (Hobbitサーバ側:マッチパターンを検出、警告レベルの判定を行う)

■hobbit-clients.cfgファイルの設定方法 []は任意オプション

LOG logfilename pattern [COLOR=color] [IGNORE=excludepattern]

■オプションの内容
・logfilename
 監視するログのファイル名を指定します。(フルパスで指定します)

・pattern
 エラーを検知したいパターンを正規表現で指定します。

・COLOR
 マッチするパターンを検知した場合の警告レベルを指定します(red:yellow)
 (指定がない場合はred)

・IGNORE
 無視するパターンを正規表現で指定します。
 (パターンに一致した行でもIGNOREのパターンに一致する場合は無視します)

■設定例
1)システムログにI/Oエラー、SCSIエラーが出た場合にステータスを赤にする
LOG /var/log/messages %.(I/O|SCSI).error COLOR=red

2)デーモンログにWARNINGもしくはNOTICEの文字列が出た場合にステータスを黄色にする。ただし、lprの文字列がある場合を除く
LOG /var/log/daemon.log %WARNING|NOTICE COLOR=yellow IGNORE=lpr

デフォルトではログ監視をしない設定。(監視対象とするログ、検知文字列がないため)
color="red", no "excludepattern".

【Q&A】
Q.エラー検知後にログファイルからエラーの行を削除すると?
A.すぐにグリーンになる。

Q.ログファイルのエラーを放置しておくと?
A.エラーが連続して出続けなければ、検知から30分後にグリーンとなる。

Q.ログ監視は複数設定することが可能?
A.システムログとクーロンログなど、併せて設定することは可能だがmsgs項目は一つなので、
 どのログでエラーとなっているか非常に分かりずらい。⇒カスタム監視にしたほうがよいでしょう

Q.監視したいログの形式は?
A.日時 ホスト名 エラーメッセージの順
 Feb  5 14:00:39 zkanshi00 sshd(pam_unix)[1355]: session closed for user root