怎样分析openbsd中 newsyslog生成的日志文件？

ioerr

openbsd 4.2，使用newsyslog生成pf的日志文件pflog5.gz，怎样分析它？我打算用perl对其进行处理的。

现在我的方法：
gzip解压，然后使用tcpdump -r filename >log.txt;巨慢 ！！！！！！！！！！哪位有好的方法，谢谢了！

ioerr

上午用我自己的办法，导出日志，从11：00一直到下午2：30左右才完成一个200M的，可以一共有60个，天呀，这得多长时间啊，高手来帮忙啊。

刚才试图用wireshark打开日志文件，结果wireshark崩溃了，what shall I do？

继续diy and search...

cnduly

要分析pf日志，不如试试这个~~~
http://www.dixongroup.net/hatchet/

ioerr

看了看changelog，08年最后更新了，不知道楼上的兄弟用过么？分析日志怎样，我看见个软件awstats，能生成图像，挺漂亮，就是还不知道适合pf不。

我想pf生成的是tcpdump的文件，应该比较普遍的，会有不少工具能用。

先谢谢了，看看去。

ioerr

搜索半天，还没有头绪，郁闷中...

congli

>log.txt
不会是没把磁盘的Softupdate打开吧?

ioerr

congli版主，你害了我，www。我按照你的指示想开启soft-update，搜啊搜，
看了cu另一篇改进openbsd磁盘性能的文章，自己想试试，于是悲剧开始了...

先修改了fstab，原来为：
/dev/wd0a ffs rw 1 1
修改为：
/dev/wd0a ffs rw,softdep 1 1(参考自openbsd faq “14.5 - Soft Updates”)

重启，提示：  Read-only file system，我***

意识到修改出问题了，想改回去，发现所有文件分区都不能写了，晕！！！

历经一上午，在网上google了很多方法，都不行，急死了，幸好这是备份防火墙，要不我死了我。最后cu搜fstab关键字，栽这个沟里的还真是大有人在啊，高兴ing，幸灾乐祸ing，呵呵，看见了congli版主给一个人的回复，尝试下，竟然ok了，过程如下：

用openbsd的安装盘启动，进入shell，然后把原来的硬盘挂上，进入原来的/etc目录,找到fstab,发现没有vi，又晕！！！幸好有 echo，于是cp 备份一个fstab，echo /dev/wd0a ffs rw 1 1>fstab.重启，ok！

万岁！快下班了，打僵尸去，呵呵！！！

总结：

• 基础不牢，mount都不熟，还需要好好打基础啊；
• 那篇提升性能的文章提示过，/可能不能用soft-update，看来真不行啊，更可气的是，我安装ob的时候懒，就一个分区/，没法soft-update了。
• 安装盘还有修复的用途，good！
• 奇怪的是为什么最后没有vi用，怪！！！
• *nix的fstab还是不要动吧
• congli害了我又救了我

ioerr

我用一个blogbench试了下，finalwrite 44M，正常么？也不会因为这个写速度而导致我tcpdump日志慢成这个样子吧？？？

lsstarboy

做好试验再上线，这是基本原则

congli

{:3_182:}平常多出问题,到关键时刻就没问题了.{:3_193:}

softupdate真的管用,至于/能不能上就没印象了.重装一下系统来再测试啊,哈~~
期待再测试的结果.