pdbtool - онлайн у хмарі

ПРОГРАМА:

ІМ'Я

pdbtool – програма для тестування та перетворення правил бази даних шаблонів syslog-ng

СИНТАКСИС

pdbtool [команда] [параметри]

ОПИС

Ця сторінка посібника є лише анотацією; для повної документації syslog-ng і
pdbtool, див Команда syslog-ng адміністратор Guide[1].

Програма syslog-ng може зіставити вміст повідомлень журналу з базою даних
попередньо визначені шаблони повідомлень (також звані patterndb). Порівнюючи повідомлення з
відомі шаблони, syslog-ng здатний ідентифікувати точний тип повідомлень, позначити теги
повідомлення та сортувати їх за класами повідомлень. Класи повідомлень можна використовувати для класифікації
тип події, описаної в повідомленні журналу. Функціональність візерунка
база даних схожа на проект logcheck, але підхід syslog-ng швидше,
масштабується краще, і його набагато легше підтримувати порівняно з регулярними виразами
перевірка журналу.

Команда pdbtool додаток — це утиліта, яку можна використовувати для:

· тестові шаблони повідомлень;

· конвертувати старішу базу даних шаблонів в останній формат бази даних;

· об'єднати бази даних шаблонів в один файл;

· дамп дерева RADIX, створеного з бази даних шаблонів (або її частини), щоб дізнатися, як це зробити
зіставлення візерунків працює.

THE DUMP КОМАНДА

дамп [параметри]

Відобразіть дерево RADIX, побудоване з шаблонів. Це показує, як виглядають візерунки
представлений у syslog-ng, і це також може допомогти відстежити проблеми зіставлення шаблонів.
Утиліта dump може дампувати дерево, яке використовується для узгодження частин ПРОГРАМИ або MSG.

--pdb or -p
Ім’я файлу бази даних шаблонів для використання.

--програма or -P
Відображає дерево RADIX, побудоване з шаблонів, що належать до $PROGRAM Додаток.

--дерево програм or -T
Відобразити $PROGRAM дерево.

Приклад і зразок результату:

pdbtool dump -p patterndb.xml -P 'sshd'

'p'
'запас для'
@QSTRING:@
"від"
@QSTRING:@
'порт'
@NUMBER:@ rule_id='fc49054e-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc55cf86-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc4b7982-75fd-11dd-9bba-001e6806451b'
'ublickey для'
@QSTRING:@
"від"
@QSTRING:@
'порт'
@NUMBER:@ rule_id='fc4d377c-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc5441ac-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc44a9fe-75fd-11dd-9bba-001e6806451b'

THE MATCH КОМАНДА

матч [параметри]

Використовувати матч команда для перевірки правил у базі даних шаблонів. Команда намагається знайти відповідність
зазначене повідомлення в порівнянні з шаблонами бази даних, оцінює синтаксичний аналізатор
шаблон, а також відображає, яка частина повідомлення була успішно проаналізована. Команда
повертається з 0 (успіх) або 1 (не відповідає) код повернення і відображає наступне
інформація:

· клас, призначений для повідомлення (тобто система, порушення тощо),

· ідентифікатор правила, що відповідає повідомленню, і

· значення синтаксичних аналізаторів (якщо в шаблоні відповідності були парсери).

Команда матч команда має такі параметри:

--забарвлення or -c
Розфарбуйте вихід терміналу, щоб виділити частину повідомлення, яка була успішно виконана
розібрано.

--debug-csv or -C
Роздрукуйте інформацію про налагодження, яку повернув файл --шаблон налагодження варіант як
значення, розділені комами.

--шаблон налагодження or -D
Друк налагоджувальної інформації про відповідність шаблону. Дивіться також --debug-csv
варіант.

--file= or -f
Обробляйте повідомлення вказаного файлу журналу з базою даних шаблонів. Цей варіант
дозволяє класифікувати повідомлення в автономному режимі та застосовувати базу даних шаблонів до вже
наявні файли журналу. Щоб прочитати повідомлення зі стандартного введення (stdin), вкажіть a
дефіс (-) замість імені файлу.

--фільтр= or -F
Друкувати лише повідомлення, що відповідають вказаному виразу фільтра syslog-ng.

--повідомлення or -M
Текст повідомлення журналу для відповідності (тільки файл $MESSAGE частина без системного журналу
заголовки).

--pdb or -p
Ім’я файлу бази даних шаблонів для використання.

--програма or -P
Назва програми, яку потрібно використовувати, як міститься в $PROGRAM частина повідомлення системного журналу.

--template= or -T
Вираз шаблону syslog-ng, який використовується для форматування вихідних повідомлень.

Приклад. Наступна команда перевіряє, чи файл patterndb.xml розпізнає файл Прийняті
ОткритийКлюч та цінності мій користувач від 127.0.0.1 порт 59357 ssh2 повідомлення:

pdbtool match -p patterndb.xml -P sshd -M "Прийнято відкритий ключ для myuser з порту 127.0.0.1 59357 ssh2"

У наведеному нижче прикладі файл бази даних шаблонів sshd.pdb застосовується до повідомлень журналу
зберігається у файлі /var/log/messages і відображає лише повідомлення, які отримали a
userracct бирка.

pdbtool match -p sshd.pdb
–файл /var/log/messages
–filter 'tags(“usracct”);'

THE ВЕЛИКИЙ КОМАНДА

злиття [параметри]

Використовувати злиття команда для об’єднання окремих файлів бази даних шаблонів в один файл
(бази даних шаблонів зазвичай зберігаються в окремих файлах для кожної програми для спрощення
технічне обслуговування). Якщо файл використовує старіший формат бази даних, він автоматично оновлюється до
останній формат (V3). Див Команда syslog-ng адміністратор Guide[1] для детальної інформації про
різні версії бази даних шаблонів.

--каталог or -D
Каталог, який містить XML-файли бази даних шаблонів, які потрібно об’єднати.

--глоб or -G
Вкажіть імена файлів, які будуть об’єднані, використовуючи шаблон глобулі, наприклад, за допомогою символів підстановки. Для
подробиці про глобальні візерунки див людина куля. Цей шаблон застосовується лише до імен файлів,
а не в іменах каталогів.

--pdb or -p
Ім'я файлу бази даних вихідного шаблону.

--рекурсивний or -r
Також об’єднайте файли з підкаталогів.

приклад:

pdbtool merge --recursive --directory /home/me/mypatterns/ --pdb /var/lib/syslog-ng/patterndb.xml

Наразі неможливо конвертувати файл без злиття, тому якщо ви тільки хочете
конвертувати старий файл бази даних шаблонів до останнього формату, вам потрібно скопіювати його в файл
порожній каталог.

THE ВЗРАЗУВАТИ КОМАНДА

візерунок [параметри]

Автоматично створювати базу даних шаблонів з файлу журналу, що містить велику кількість журналів
повідомлення. Отримана база даних шаблонів виводиться на стандартний вихід (stdout). The
pdbtool візерунок команда використовує метод кластеризації даних для пошуку подібних повідомлень журналу
та заміна різних частин на @ESSTRING:: @ парсери. Детальніше про шаблон
бази даних і аналізатори повідомлень, див Команда syslog-ng адміністратор Guide[1]. The
візерунок Команда доступна лише в syslog-ng OSE версії 3.2 і новіших.

--file= or -f
Файл журналу, що містить повідомлення журналу для створення шаблонів. Щоб отримати журнал
повідомлення зі стандартного введення (stdin), корист -.

--ітерації-виброси or -o
Рекурсивно перебирайте рядки журналу, щоб охопити стільки повідомлень журналу шаблонами
можливо.

--named-parsers or -n
Кількість прикладів повідомлень журналу, які потрібно включити в базу даних шаблонів для кожного
візерунок. Значення за замовчуванням: 1

--зразки=
Включіть згенероване ім'я в аналізатори, наприклад, .dict.string1, .dict.string2,
і так далі.

--підтримка= or -S
Шаблон додається до вихідної бази даних шаблонів, якщо принаймні вказаний відсоток
повідомлень журналу з вхідного журналу відповідає шаблону. Наприклад, якщо вхід
файл журналу містить 1000 повідомлень журналу та файл --support=3.0 використовується варіант, шаблон є
створюється, лише якщо шаблон відповідає щонайменше 3 відсоткам повідомлень журналу (тобто
30 повідомлень журналу). Якщо patternize не створює достатньо візерунків, спробуйте зменшити
допоміжне значення.

Значення за замовчуванням: 4.0

приклад:

pdbtool patternize --support=2.5 --file=/var/log/messages

THE TEST КОМАНДА

тест [параметри]

Використовувати тест команда для перевірки XML-файлу бази даних шаблонів. Зверніть увагу, що ви повинні мати
xmllint встановлений додаток. The тест Команда доступна лише у версії syslog-ng OSE
3.2 і пізніше.

--підтвердити
Перевірте XML-файл бази даних шаблонів.

приклад:

pdbtool test --validate /home/me/mypatterndb.pdb

Використовуйте pdbtool онлайн за допомогою служб onworks.net