用LogSurfer+在Linux上监督登录文件

目前，有很多工具都是用来监督登录文件的。知名的常用工具是swatch，它能够被用来发送基于登录文件的某些字符串的提醒。但是由于它有部分的限制，开发者就创建了另外一个叫做LogSurfer的工具。相比于swatch,因为你需要创建与你网络相关的规则，所以安装LogSurfer+只需少量时间。首先，从LogSurfer和LogSurfer+源网页上下载工具；接着，进行编辑和安装。

安装完成之后，你开始创建规则。规则是基于与你所进行的各种行为相匹配的常规表达式，比如"ignore," "exec"（运行一个程序），"rule"(主要地创建一个新规则)等。

这是关于规则的简单例子，忽略了登录消息 “上次消息重复xx次”.

　　
　　'last message repeated' - - - 0
　　
　　ignore

这是规则的句法：

　　
　　match_regexnot_match_regexstop_regexnot_
    stop_regex timeout [continue] \ action

比如，在任何一台总机上登录ssh，你可以使用如下规则：

　　
　　'^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0
　　
　　open "$2 sshd login" - 500 1200 600
　　
　　report "/usr/local/bin/mailop 
    \"ssh login on $2 for $4\" \"$2 sshd login\"

如果更复杂的话，这个规则会运行/usr/local/bin/mailop脚本发送消息，表明ssh登录发生在特定主机上并且来自从一个特定用户。

你可以看到各式各样的（比如，$2, $4,等等），均象征着匹配的平常表达式. $2对应第二个匹配的regexp，而$4对应第四个匹配的regexp，这就是在匹配的登录列规则下，跟机器名称和用户名的相互对应。这是一个制作一个新关系的规则的例子。

首次安装LogSurfer+，可能有点困难，特别是在你不熟悉的常规表达式的情况下。核查emf's的LogSurfer配置网页来获取另外一些例子和正使用的规则，他们中包括许多规则的例子。