Re: парсер для error.log

Ivan Bondarets bondarets at gmail.com
Fri Jan 18 13:03:23 UTC 2013


мне не для суммарной статистики по типу ошибок. Мне надо анализировать логи
с точки зрения событий, которые имеют хоть какое-то отношение к
информационной безопасности (события передатся в SIEM для дальнейшей
корреляции и анализа). Для основного лога я уже написал парсер
(используется нестандартный формат лога), а вот для error как-то не
выходит, потому что я не могу точно понять, как разделены поля (и разделены
ли вообще), фиксировано ли количество полей или нет, что некоторые из них
обозначают и т.п.


18 января 2013 г., 16:19 пользователь Anton Yuzhaninov
<citrin at citrin.ru>написал:

> On 01/18/13 00:24, Михаил Монашёв wrote:
>
>> Если в парсере заменять все числа, строки в
>> кавычках  и  строки,  идущие  от  двоеточия до запятой и не содержащие
>> пробелов  на  ХХХ,  то получится свернуть всё разнообразие сообщение в
>> несколько шаблонных фраз. Ну и ради примера приводить одну несвёрнутую
>> ошибку ещё можно. Полезная тулза, кстати получится.
>>
>
> Для суммарной статистики по числу ошибок разного типа сейчас использую
> такой скрипт:
>
> sed -E 's/.* (.*) [0-9]*#0: /\1 /' < $ERROR_LOG \
>         | sed 's/ \*[0-9]* / /; s/, client: .*//; s/"[^"]*"/"..."/g;' \
>         | sort | uniq -c | sort -rn
>
> --
>  Anton Yuzhaninov
>
>
> ______________________________**_________________
> nginx-ru mailing list
> nginx-ru at nginx.org
> http://mailman.nginx.org/**mailman/listinfo/nginx-ru<http://mailman.nginx.org/mailman/listinfo/nginx-ru>
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://mailman.nginx.org/pipermail/nginx-ru/attachments/20130118/5ee2c727/attachment.html>


Подробная информация о списке рассылки nginx-ru