Hobbitクライアント側で監視したいログファイルを指定する
Hobbitサーバにあるclient-localファイルを、Hobbitクライアントが定期的に取得することで、
ログ監視およびファイル監視をしたいファイルの情報をHobbitサーバに通知することが可能となる。
■設定例
log:/var/log/messages:10240
ignore MARK
trigger Oops
・LOG:FILENAME:SIZE (ログ:ファイルネーム:サイズ)
Hobbitサーバに送るファイル(フルパス)と最大サイズを指定する。(単位はバイト)
・ignore:pattern (任意オプション)
無視するパターンの行を指定する。(ノイズ除去)
マッチする行はHobbitサーバに通知しない仕様
・tregger PATTERN (任意オプション)
必ずHobbitサーバに通知する行を指定する
ログサイズがSIZEで指定した最大サイズより大きくなるような場合に有効
■特別設定
通常はログファイルの情報を全てHobbitサーバに送信するが、パターンにマッチした行だけ送信したい場合はlinecountを使う。
■設定例
linecount:/var/log/messages
diskerrors:I/O error.*device.*hd
badlogins:Failed login
(シスログの中からディスクエラー、ログイン失敗の情報のみHobbitサーバに通知する)
■ファイルの状態監視設定
ファイルのグループ、オーナー、サイズ、パーミッション、チェックサム監視が可能
file:/var/log/messages[:HASH]
デフォルトではハッシュ値は計算されません。ハッシュ値(md5、SHA1、rmd160)
■ディレクトリ、サブディレクトリのサイズ監視設定
dir:DIRECTORYNAME
Hobbitサーバ上のlog項目で参照することが出来る。
■設定例
dir:`find /var/log -maxdepth 1 -type d`
【Q&A】
Q.Hobbitサーバの設定を変更した場合はいつクライアントに反映される?
A.Hobbitクライアントの起動サイクル5-10分程度。
Q.ディレクトリサイズの監視はどうやっているの?
A.Hobbitクライアントがdu -kコマンドを実施しています。(単位はKB)
Q.ファイル監視って便利そうですね?
A.ファイル監視等ハッシュ値を計算するためにリソースのオーバーヘッドが大幅に増加します。
外部からの侵入によるファイル書き換え、改ざん検知など、特別なサーバにのみ設定することを想定しています。
Q.ファイル監視は複数設定することが可能?
A.複数のファイルを監視することは可能ですが項目は一つなので、
どのファイルでエラーとなっているか非常に分かりずらい。⇒カスタム監視にしたほうがよいでしょう