Swatch的安装和使用

life-boy

Swatch程式的作用在于监视系统的日志文件，并根据用户设置的设置信息，及时的将用户感兴趣的事件发生情况通知用户。Swatch有两种运行方式：批处理方式，即检查日志文件后即时退出；监视方式，连续监视日志文件，检查每一条新记录是否符合用户的设置条件。在监视状态下，Swatch对事件的更新和通知实时性非常好。在Swatch中，提供了多种通知选项，例如：在终端显示板上以不同的颜色显示不同的日志信息；终端振铃；转发到用户的email地址等等。
一、 获得Swatch
Swatch是个免费的软件包。一般能在国内各个ftp站点上找到。用户能从以下几个站点下载Swatch的rpm包，他的安装十分方便快捷。
ftp://freesoft.cei.gov.cn/mirror ... ontrib/noarch/SRPMS
ftp://ftp.bjnet.edu.cn/pub/linux/linux/FreeBSD-2.2.6/packages/All
能下载的站点非常多，就不一一列举了。
二、 安装Swatch
Swatch的安装十分简单。下面以Swatch-2.2-2.src.rpm为例，说明Swatch的安装过程。在安装前，首先确定安装用户以root的身份登陆。安装过程分为以下几个步骤：
1． 解rpm包
敲入命令行：rpm -Uvh Swatch-2.2-2.src.rpm 。该命令行自动将Swatch-2.2-redhat.patch 和Swatch-2.2.tar.gz拷贝到/usr/src/ redhat/SOURCES/目录下。
2． 解压缩文件Swatch-2.2.tar.gz
到/usr/src/ redhat/SOURCES/目录下，运行命令行：tar xvfz Swatch-2.2.tar.gz，系统将文件解压拷贝。内容如下：
Swatch-2.2/
Swatch-2.2/Changes
Swatch-2.2/Contents
Swatch-2.2/README
Swatch-2.2/config_files/
Swatch-2.2/config_files/syslog.conf-master
Swatch-2.2/config_files/syslog.conf-server
Swatch-2.2/config_files/Swatchrc.personal
Swatch-2.2/config_files/Swatchrc.monitor
Swatch-2.2/config_files/syslog.conf-client
Swatch-2.2/install.pl
Swatch-2.2/install.sh
Swatch-2.2/lisa93_paper.ps
Swatch-2.2/sw_actions.pl
Swatch-2.2/sw_history.pl
Swatch-2.2/Swatch.pl
Swatch-2.2/Swatch.conf.man
Swatch-2.2/Swatch.prog.man
Swatch-2.2/utils/
Swatch-2.2/utils/call_pager.pl
Swatch-2.2/utils/badloginfinger.pl
检查所有的文件是否以完整解压，准备安装。
3． 运行install.sh开始安装
在提示符下输入执行命令：
[root@ice Swatch-2.2]# ./install.sh
安装程式会提问关于安装环境的设置，提问内容如下：
Enter the directory where Swatch
is to be installed (default ’/usr/local/etc’)
What user should own the installed Swatch files?
(default ’root’)
What group should own the installed Swatch files?
(default ’wheel’)
What should the permissions be for the installed Swatch script?
(default ’755’)
What should the permissions be for the installed Swatch libraries and man pages?
(default ’444’)
Enter the name of the directory where the
perl library files are located (default ’/usr/local/lib/perl’)
Enter the name of the directory where you wish to
install the Swatch library files (default ’/usr/local/lib/perl’)
What directory should the Swatch man pages be installed (default ’/usr/local/man’)
What should the extension be for the Swatch program manual page? (default ’8’)
What should the extension be for the Swatch configuration file manual page?
(default ’5’)
所有的问题都设有默认值，推荐使用默认值安装。直接按Enter键继续。环境变量设置完毕之后，在安装程式的提示下，就能完成整个Swatch的安装。
三、 设置Swatch
设置文件是用来告诉Swatch哪些事件需要想用户报告，采用什么样的方式通知用户。Swatch设置文件的格式为：模式及模式匹配后采取的动作。其中模式必须是Perl语言认识的正则表达式。正则表达式由关键字和’=’组成。下表列出了部分关键字和可能值。
关键字 键值
watch=regular_expression 监视日志文件中的正则表达式
ignore= regular_expression 忽略正则表达式
waitfor= regular_expression 在该正则表达式之前忽略其他正则表达式
echo[=mode] 输出报刊匹配模式的行，缺省为normal。
bell[=n] 在终端振铃n次
mail[=address:address:…] 指定邮件发送的email地址，多个地址间用""："隔开
throttle=options 限制匹配行的动作。
exec=command 模式匹配时，执行command命令。
下面给出用户ice的个人Swatch设置文件实例。
#
# Ice’s Personal Swatch configuration file
#

# Alert me of bad login attempts and find out who is on that system
/INVALID|REPEATED|INCOMPLETE/ echo=inverse,bell=3

# Important program errors
/LOGIN/ echo=inverse,bell=3
/passwd/ echo=bold,bell=3
/ruserok/ echo=bold,bell=3

# Ignore this stuff
/sendmail/,/nntp/,/xntp|ntpd/,/faxspooler/ ignore

# Report unusual tftp info
/tftpd.*(ncd|kfps|normal exit)/ ignore
/tftpd/ echo,bell=3

# Kernel problems
/(panic|halt|SunOS Release)/ echo=bold,bell
/file system full/ echo=bold,bell=3
/vmunix.*(at|on)/ ignore
/vmunix/ echo,bell

/fingerd.*(root|[Tt]ip|guest)/ echo,bell=3
/atkins/ echo=inverse,bell=3

/su:/ echo=bold
/.*/ echo
四、运行Swatch
运行Swatch时，主要是命令行选项的使用。下面主要介绍一个常用的选项。
-c filename 指定Swatch的设置文件。
-r restart_time 在特定的时间自动重启。时间格式有两种：+hh:mm表示hh小时mm分后，自动重启；hh:mm[am|pm]表示在指定的时间点重启。
-P pattern_separator 告诉Swatch使用pattern_separator作为设置文件中莫时匹配的分隔符，默认为冒号"："。
下面几个选项只能选用其中之一。
-f filename Swatch检查filename文件的内容，并退出。
-p command 先执行command命令，其输出作为Swatch的输入。
-t filename 检查加入filename文件的新内容。
当执行Swatch命令，不带所有参数时，Swatch命令等效于下面的执行方式：
Swatch -c ~/.Swatchrc -t /var/log/syslog
下面介绍几个Swatch运行结果的例子。
ü 命令行：Swatch -c ~/.Swatchrc -t /var/log/syslog
运行结果：
*** Swatch-2.2 (pid:1661) started at Sun Nov 26 12:23:03 CST 2000

Nov 24 12:01:05 ice in.telnetd[993]: refused connect from 202.112.13.211
Nov 24 20:19:45 ice inetd[445]: pid 1003: exit status 1
Nov 25 14:07:33 ice inetd[445]: pid 1140: exit status 1
Nov 25 20:39:05 ice inetd[445]: pid 1194: exit status 1
Nov 26 12:03:25 ice inetd[445]: pid 1350: exit status 1
Nov 26 12:14:41 ice inetd[445]: pid 1410: exit status 1
Caught a SIGINT -- shutting down
Caught a SIGINT -- shutting down
ü 命令行：Swatch -c ~/.Swatchrc -t /var/log/ messages
运行结果：
*** Swatch-2.2 (pid:1666) started at Sun Nov 26 12:23:42 CST 2000

Nov 26 11:41:41 ice PAM_pwdb[1374]: (su) session opened for user root by zy(uid)
Nov 26 11:48:02 ice PAM_pwdb[1411]: (login) session opened for user wu by (uid=)
Nov 26 11:48:08 ice PAM_pwdb[1434]: authentication failure; wu(uid=510) -> roote
Nov 26 11:48:13 ice PAM_pwdb[1435]: (su) session opened for user root by wu(uid)
Nov 26 12:03:25 ice inetd[445]: pid 1350: exit status 1
Nov 26 12:03:25 ice PAM_pwdb[1374]: (su) session closed for user root
Nov 26 12:14:41 ice inetd[445]: pid 1410: exit status 1
Nov 26 12:14:41 ice PAM_pwdb[1435]: (su) session closed for user root
Nov 26 12:16:21 ice PAM_pwdb[1580]: (login) session opened for user wu by (uid=)

好了，Swatch的安装，设置和使用说明都介绍完了。接下来就请你试着用用看。Swatch是个非常好的日志文件管理工具，他能确实的确保你的日志文件的完整性，可用性及实时的通知你系统的安全问题。