Análise de logs encaminhados usando a solução syslog e logger.
Para ver os logs de uma proapps, validar no cat /etc/syslog.conf quais logs estão sendo enviados, e o nível. como no caso abaixo, todos os logs de sistema para o IP @IP: .* @10.177.1.11 validar se o serviço está de pé: /etc/rc.d/syslogd status
Para logs do serviço, no caso WAF: cat /usr/local/etc/rc.d/proapps-syslogxtra. Validar nas varáveis o IP para qual é enviado e os logs: ------------------Início do script------------------ #!/bin/sh #set -xv # Patrick Tracanelli <patrick@serveru.us> # AndreKim 14-03-2022 - adicionado | $loggercmd & no final das linhas 32 a 34 (Valew Charles) # $FreeBSD: $
# PROVIDE: syslogxtra # REQUIRE: syslogd # KEYWORD: shutdown
. /etc/rc.subr
name="proapps_syslogxtra" rcvar=proapps_syslogxtra_enable
start_cmd="do_start" stop_cmd="do_stop" status_cmd="do_status" extra_commands="status"
loggercmd="logger -t waf -h 10.177.1.11"
[ -z "$proapps_syslogxtra_enable" ] && proapps_syslogxtra_enable="NO"
load_rc_config $name
do_start() { # # Remember to customize this script according to customer needs # echo "Starting ${name}" # /usr/local/proapps/bin/proapps-waf-syslog tail -F -n 0 /var/log/nginx/*_error.log | $loggercmd & tail -F -n 0 /var/log/nginx/*_access.log | $loggercmd & tail -F -n 0 /var/log/modsec_audit.log | $loggercmd & }
do_stop() { echo "Stoping ${name}" for pid in $(ps wauxw | grep "tail -F" | grep "/var/log" | awk '{print $2}') ; do kill -TERM ${pid} >/dev/null 2>&1 ; done }
do_status() { ps wauxw | grep "tail -F" | grep "/var/log" | awk '{print "Pid "$2" is running"}' }
run_rc_command "$1" ------------------fim do script------------------
|