Rsyslog 收到特定訊息的觸發動作

 

以往都習慣用 Rsyslog + logfmon 這樣的組合去做一些簡單網管小功能.

但 logfmon 這個好工具,已長久不再更新,故想改變一個方式,去取代這樣的組合.

https://xrcd2.blogspot.com/2016/11/logfmon.html

僅用 rsyslog 去做-->收到特定訊息的觸發動作

但不確定這樣的組合是否可以通過高壓測試?

以往 Rsyslog 僅負責將接收到的特定 IP  log 寫入指定位置,

並透過 logfmon 去做特定訊息的分析及觸發動作.

等上線實戰後再來後續處理了.待追蹤~

記錄相關設定如下:

啟用 omprog 模組 在 rsyslog.conf  加上 module(load="omprog")

並啟用相關設定如:

if ($msg contains "Login failed" or "Configured" or "LINEPROTO-5-UPDOWN" or "Critical") then {

    action(type="omprog" binary="/usr/local/sbin/XXX.sh")

    stop

}

=========================================

XXX.sh

#!/bin/bash

while read line; do

  echo "收到特定訊息：$line" >> /var/log/trigger.log

  # 這裡可以改成你想做的動作，例如：

  # echo "$line" | mail -s "特定訊息通知" you@example.com

done