Iphostmonitor：如何保存?zhèn)魅氲腟yslog事件？

如何在調(diào)整Syslog 監(jiān)視器時(shí)保存?zhèn)魅胧录?/p>

Q:在看到Syslog 事件之前，我無法正確過濾它們。有沒有辦法記錄這些事件？

A:是的，可以使用Python 腳本來保存Syslog 監(jiān)視器事件（分別為每臺(tái)主機(jī)）。請(qǐng)按照以下說明進(jìn)行操作

下載示例Python 腳本

下面的腳本：

store-syslog.zip(897 bytes)

可以用作原型來保存Syslog 事件并存儲(chǔ)它們以供進(jìn)一步檢查。進(jìn)一步的說明假設(shè)如下：

1、腳本(store-syslog.py) 放在C:Scripts 文件夾中

2、日志文件寫入C:Scriptslogs 文件夾

創(chuàng)建這兩個(gè)文件夾，或更改以下說明中的相應(yīng)路徑。注意：重要的是 SYSTEM 帳戶可以創(chuàng)建文件并寫入C:Scriptslogs 文件夾。

從上述存檔中解壓store-syslog.py 腳本（1391字節(jié)）并將其放入C:Scripts 文件夾中。

創(chuàng)建警報(bào)和警報(bào)規(guī)則以處理Syslog 事件

啟動(dòng)IPHost GUI 客戶端并打開一個(gè)新的警報(bào)編輯器（“設(shè)置> 警報(bào)”，單擊“新建”）：

單擊“新建> 新建簡(jiǎn)單操作> 執(zhí)行Python 腳本”。

輸入新的Python 腳本字段，如下所示：

解釋：

路徑：是放置腳本的地方（它必須是 SYSTEM帳戶可讀的）。

參數(shù)：參數(shù)中唯一的字符串是應(yīng)在其中創(chuàng)建日志的文件夾名稱。請(qǐng)確保最后有反斜杠（‘’）。

輸入數(shù)據(jù)：輸入兩個(gè)字符串，每個(gè)字符串換行：

（在每行后按“Enter”）。在調(diào)用腳本之前，“$EventDetails”變量將擴(kuò)展為接收到的實(shí)際系統(tǒng)日志數(shù)據(jù)。

單擊“確定”。

創(chuàng)建新的警報(bào)規(guī)則（“設(shè)置> 警報(bào)規(guī)則> 新建”）。填寫以下字段：

（即，僅使用“事件警報(bào)”，其他保留為“不報(bào)告”）

單擊“確定”。

分配警報(bào)規(guī)則并測(cè)試腳本

選擇一個(gè)系統(tǒng)日志監(jiān)視器，打開其“警報(bào)”選項(xiàng)卡并分配新創(chuàng)建的“保存系統(tǒng)日志數(shù)據(jù)”警報(bào)規(guī)則：

單擊“保存”。

啟動(dòng)Syslog 監(jiān)視器（或停止并啟動(dòng)它）。如果一切設(shè)置正確，將在日志文件夾（上例中的C:Scriptslogs）中創(chuàng)建新的日志文件，名為“IPaddress.syslog.txt”，其中“IPAddress”是計(jì)算機(jī)的數(shù)字IP 地址發(fā)送 Syslog 事件的主機(jī)。

例如，如果主機(jī)IP 是10.20.30.40，那么日志文件將被命名為

上面的文件將包含如下所示的條目：

如果您只需要上述部分字段，請(qǐng)根據(jù)需要隨意編輯store-syslog.py。

注意：請(qǐng)將Syslog 監(jiān)視器更改為僅向您發(fā)送所需數(shù)據(jù)（默認(rèn)設(shè)置接受所有可能的數(shù)據(jù)）?，F(xiàn)實(shí)生活中的網(wǎng)絡(luò)設(shè)備每秒可以輕松發(fā)送數(shù)十個(gè)事件——確保您的IPHost 安裝有足夠的資源來處理系統(tǒng)日志事件流。

注意：如果您正在調(diào)試Syslog 監(jiān)視器（以防獲取所需事件時(shí)出現(xiàn)問題），您還可以考慮在不同于SYSTEM（默認(rèn)）的帳戶下運(yùn)行IPHost 監(jiān)視服務(wù)，以防您需要帳戶真實(shí)的用戶檔案。

審核編輯 ：李倩