Есть ли способ сделать проверка журнала на что-то реагировать?
Например, предположим, что я замечаю определенную закономерность в некоторых журналах и думаю, что могу легко запрограммировать какой-нибудь синтаксический анализатор для распознавания, а затем что-то сделать, например добавить правило в iptables. Есть ли способ сделать это с помощью logcheck?
Эй, старый сопровождающий логчека. Для этого нет встроенного способа, хотя вы можете взломать его с помощью pipe / grep, как предложил Кайл.
Я не уверен насчет проверки журнала, но если вы настроили мониторинг Nagios, вы также можете настроить Обработчики событий, которые запускают скрипты при определенных условиях. Было бы довольно просто написать сценарий, который проверяет журналы на наличие Nagios, предупреждения для определенного текста, а затем Nagios запускает сценарий обработчика событий. Хотя это немного сложно, я думаю, вы можете найти много применений для Nagios. Здесь документация для обработчиков событий Nagios.
Другой вариант - настроить procmail и заставить его запускать сценарии на основе уведомления по электронной почте. Это описано в procmail faq в разделе «Как я могу запустить произвольный Perl или сценарий оболочки для всей или выбранной входящей почты?»
Для самого logcheck, похоже, есть опция -o:
"-o режим STDOUT, без отправки почты."
Таким образом, вы могли бы использовать это для передачи вывода в скрипт, который выполняет то действие, которое вы хотите, если он находит текст, иначе он просто отправит электронное письмо как обычно. Но я никогда не экспериментировал с этим сам.