Đây là lệnh pdbtool có thể được chạy trong nhà cung cấp dịch vụ lưu trữ miễn phí OnWorks bằng cách sử dụng một trong nhiều máy trạm trực tuyến miễn phí của chúng tôi như Ubuntu Online, Fedora Online, trình giả lập trực tuyến Windows hoặc trình giả lập trực tuyến MAC OS
CHƯƠNG TRÌNH:
TÊN
pdbtool - Một ứng dụng để kiểm tra và chuyển đổi các quy tắc cơ sở dữ liệu mẫu syslog-ng
SYNOPSIS
pdbtool [lệnh] [tùy chọn]
MÔ TẢ
Trang hướng dẫn này chỉ là một bản tóm tắt; để có tài liệu đầy đủ về syslog-ng và
pdbtool, xem Sản phẩm syslog-ng Quản trị Hướng dẫn[1.
Ứng dụng syslog-ng có thể khớp nội dung của thông báo nhật ký với cơ sở dữ liệu của
các mẫu tin nhắn được xác định trước (còn được gọi là patternndb). Bằng cách so sánh các tin nhắn với
các mẫu đã biết, syslog-ng có thể xác định loại chính xác của thông báo, gắn thẻ
và sắp xếp chúng thành các lớp tin nhắn. Các lớp thông báo có thể được sử dụng để phân loại
loại sự kiện được mô tả trong thông báo nhật ký. Chức năng của mẫu
cơ sở dữ liệu tương tự như của dự án logcheck, nhưng cách tiếp cận syslog-ng nhanh hơn,
mở rộng quy mô tốt hơn và dễ bảo trì hơn nhiều so với các biểu thức chính quy của
kiểm tra nhật ký.
Sản phẩm pdbtool ứng dụng là một tiện ích có thể được sử dụng để:
· Thử nghiệm các mẫu tin nhắn;
· Chuyển đổi cơ sở dữ liệu mẫu cũ sang định dạng cơ sở dữ liệu mới nhất;
· Hợp nhất cơ sở dữ liệu mẫu thành một tệp duy nhất;
· Kết xuất cây RADIX được xây dựng từ cơ sở dữ liệu mẫu (hoặc một phần của nó) để khám phá cách
kết hợp mô hình hoạt động.
CÁC XE COMMAND
đổ [tùy chọn]
Hiển thị cây RADIX được xây dựng từ các mẫu. Điều này cho thấy như thế nào là các mẫu
được biểu diễn trong syslog-ng và nó cũng có thể giúp theo dõi các vấn đề đối sánh mẫu.
Tiện ích kết xuất có thể kết xuất cây được sử dụng để khớp CHƯƠNG TRÌNH hoặc các phần MSG.
--pdb or -p
Tên của tệp cơ sở dữ liệu mẫu sẽ sử dụng.
--chương trình or -P
Hiển thị cây RADIX được xây dựng từ các mẫu thuộc về CHƯƠNG TRÌNH $ ứng dụng.
- chương trình-cây or -T
Hiển thị CHƯƠNG TRÌNH $ cây.
Ví dụ và đầu ra mẫu:
pdbtool dump -p patternndb.xml -P 'sshd'
'P'
'assword for'
@QSTRING: @
'từ'
@QSTRING: @
'Hải cảng '
@NUMBER:@ rule_id='fc49054e-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc55cf86-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc4b7982-75fd-11dd-9bba-001e6806451b'
'ublickey cho'
@QSTRING: @
'từ'
@QSTRING: @
'Hải cảng '
@NUMBER:@ rule_id='fc4d377c-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc5441ac-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc44a9fe-75fd-11dd-9bba-001e6806451b'
CÁC Đội hình thi đấu COMMAND
phù hợp với [tùy chọn]
Sử dụng phù hợp với lệnh để kiểm tra các quy tắc trong cơ sở dữ liệu mẫu. Lệnh cố gắng khớp
thông báo được chỉ định dựa trên các mẫu của cơ sở dữ liệu, đánh giá trình phân tích cú pháp của
và cũng hiển thị phần nào của thư đã được phân tích cú pháp thành công. Lệnh
trở lại với một 0 (thành công) hoặc 1 (không khớp) trả về mã và hiển thị như sau
thông tin:
· Lớp được chỉ định cho thông báo (nghĩa là hệ thống, vi phạm, v.v.),
· ID của quy tắc phù hợp với thông báo và
· Các giá trị của bộ phân tích cú pháp (nếu có bộ phân tích cú pháp trong mẫu phù hợp).
Sản phẩm phù hợp với lệnh có các tùy chọn sau:
- màu ngoài or -c
Tô màu đầu ra của đầu cuối để đánh dấu phần của thông báo đã thành công
đã phân tích cú pháp.
--debug-csv or -C
In thông tin gỡ lỗi được trả về bởi --debug-mẫu tùy chọn như
các giá trị được phân tách bằng dấu phẩy.
--debug-mẫu or -D
In thông tin gỡ lỗi về khớp mẫu. Xem thêm --debug-csv
tùy chọn.
--tệp = or -f
Xử lý thông báo của tệp nhật ký được chỉ định với cơ sở dữ liệu mẫu. Tùy chọn này
cho phép phân loại thư ngoại tuyến và áp dụng cơ sở dữ liệu mẫu cho
các tệp nhật ký hiện có. Để đọc tin nhắn từ đầu vào chuẩn (stdin), hãy chỉ định
gạch nối (-) ký tự thay vì tên tệp.
- bộ lọc = or -F
Chỉ in các tin nhắn khớp với biểu thức bộ lọc syslog-ng được chỉ định.
--thông điệp or -M
Văn bản của thông báo nhật ký để khớp (chỉ $ MESSAGE một phần không có nhật ký hệ thống
tiêu đề).
--pdb or -p
Tên của tệp cơ sở dữ liệu mẫu sẽ sử dụng.
--chương trình or -P
Tên của chương trình sẽ sử dụng, như có trong CHƯƠNG TRÌNH $ một phần của thông báo nhật ký hệ thống.
--template = or -T
Một biểu thức mẫu nhật ký hệ thống được sử dụng để định dạng các thông báo đầu ra.
Ví dụ: Lệnh sau kiểm tra xem tệp patternndb.xml có nhận dạng được Được chấp nhận
PublicKey cho người dùng của tôi từ 127.0.0.1 cổng 59357 ssh2 thông điệp:
pdbtool khớp -p patternndb.xml -P sshd -M "Đã chấp nhận khóa công khai cho người dùng của tôi từ cổng 127.0.0.1 59357 ssh2"
Ví dụ sau áp dụng tệp cơ sở dữ liệu mẫu sshd.pdb cho thông báo nhật ký
được lưu trữ trong tệp / var / log / messages và chỉ hiển thị các thông báo nhận được
sử dụng tag.
pdbtool khớp -p sshd.pdb \
–File / var / log / messages \
Thẻ –filter '(“usracct”);'
CÁC MERGE COMMAND
hợp nhất [tùy chọn]
Sử dụng hợp nhất lệnh kết hợp các tệp cơ sở dữ liệu mẫu riêng biệt thành một tệp duy nhất
(cơ sở dữ liệu mẫu thường được lưu trữ trong các tệp riêng biệt cho mỗi ứng dụng để đơn giản hóa
Sự bảo trì). Nếu một tệp sử dụng định dạng cơ sở dữ liệu cũ hơn, nó sẽ tự động được cập nhật lên
định dạng mới nhất (V3). Xem Sản phẩm syslog-ng Quản trị Hướng dẫn[1] để biết chi tiết về
các phiên bản cơ sở dữ liệu mẫu khác nhau.
--danh mục or -D
Thư mục chứa các tệp XML của cơ sở dữ liệu mẫu sẽ được hợp nhất.
--toàn cầu or -G
Chỉ định tên tệp sẽ được hợp nhất bằng cách sử dụng mẫu hình cầu, ví dụ: bằng cách sử dụng ký tự đại diện. Vì
chi tiết về các mẫu hình cầu, xem người đàn ông toàn cầu. Mẫu này chỉ được áp dụng cho các tên tệp,
và không phải trên tên thư mục.
--pdb or -p
Tên của tệp cơ sở dữ liệu mẫu đầu ra.
--đệ quy or -r
Hợp nhất các tệp từ các thư mục con.
Ví dụ:
hợp nhất pdbtool --recursive --directory / home / me / mypatterns / --pdb /var/lib/syslog-ng/patterndb.xml
Hiện tại, không thể chuyển đổi tệp mà không hợp nhất, vì vậy nếu bạn chỉ muốn
chuyển đổi tệp cơ sở dữ liệu mẫu cũ hơn sang định dạng mới nhất, bạn phải sao chép nó vào
Thư mục rỗng.
CÁC MẪU COMMAND
hoa văn [tùy chọn]
Tự động tạo cơ sở dữ liệu mẫu từ tệp nhật ký chứa một số lượng lớn nhật ký
tin nhắn. Cơ sở dữ liệu mẫu kết quả được in ra đầu ra tiêu chuẩn (stdout). Các
pdbtool hoa văn lệnh sử dụng kỹ thuật phân cụm dữ liệu để tìm các thông báo nhật ký tương tự
và thay thế các bộ phận khác nhau bằng @ESTRING :: @ trình phân tích cú pháp. Để biết chi tiết về mẫu
cơ sở dữ liệu và trình phân tích cú pháp tin nhắn, hãy xem Sản phẩm syslog-ng Quản trị Hướng dẫn[1]. Các
hoa văn lệnh chỉ khả dụng trong syslog-ng OSE phiên bản 3.2 trở lên.
--tệp = or -f
Tệp nhật ký chứa các thông báo nhật ký để tạo các mẫu từ đó. Để nhận nhật ký
tin nhắn từ đầu vào chuẩn (stdin), sử dụng -.
- tỷ lệ ngoại lệ or -o
Lặp lại đệ quy trên các dòng nhật ký để bao gồm nhiều thông báo nhật ký với các mẫu như
có thể.
- phân tích cú pháp tên or -n
Số lượng thông báo nhật ký mẫu để đưa vào cơ sở dữ liệu mẫu cho mọi
mẫu. Giá trị mặc định: 1
--samples =
Bao gồm tên đã tạo trong trình phân tích cú pháp, ví dụ: .dict.string1, .dict.string2,
và như vậy.
--support = or -S
Một mẫu được thêm vào cơ sở dữ liệu mẫu đầu ra nếu ít nhất là tỷ lệ phần trăm được chỉ định
thông báo nhật ký từ tệp nhật ký đầu vào khớp với mẫu. Ví dụ, nếu đầu vào
logfile chứa 1000 thông báo nhật ký và --support = 3.0 tùy chọn được sử dụng, một mẫu là
chỉ được tạo nếu mẫu khớp với ít nhất 3 phần trăm thông báo nhật ký (nghĩa là
30 bản ghi nhật ký). Nếu tạo mẫu không tạo đủ mẫu, hãy cố gắng giảm
giá trị hỗ trợ.
Giá trị mặc định: 4.0
Ví dụ:
pdbtool tạo mẫu --support = 2.5 --file = / var / log / messages
CÁC THI COMMAND
thử nghiệm [tùy chọn]
Sử dụng thử nghiệm lệnh xác thực tệp XML cơ sở dữ liệu mẫu. Lưu ý rằng bạn phải có
xmllint ứng dụng được cài đặt. Các thử nghiệm lệnh chỉ khả dụng trong phiên bản OSE syslog-ng
3.2 trở đi.
- xác thực
Xác thực tệp XML cơ sở dữ liệu mẫu.
Ví dụ:
kiểm tra pdbtool --validate /home/me/mypatterndb.pdb
Sử dụng pdbtool trực tuyến bằng các dịch vụ onworks.net
