这是 pdbtool 命令,可以使用我们的多个免费在线工作站之一在 OnWorks 免费托管服务提供商中运行,例如 Ubuntu Online、Fedora Online、Windows 在线模拟器或 MAC OS 在线模拟器
程序:
您的姓名
pdbtool - 测试和转换 syslog-ng 模式数据库规则的应用程序
概要
工具 [命令] [选项]
商品描述
本手册页只是一个摘要; 有关 syslog-ng 的完整文档和
pdbtool,见 这个 系统日志 管理员 产品指南[1]。
syslog-ng 应用程序可以将日志消息的内容与
预定义的消息模式(也称为patterndb)。 通过将消息与
已知模式,syslog-ng 能够识别消息的确切类型,标记
消息,并将它们分类为消息类。 消息类别可用于分类
日志消息中描述的事件类型。 图案的功能
数据库和logcheck项目类似,但是syslog-ng方式更快,
与正则表达式相比,扩展性更好,并且更容易维护
日志检查。
这个 工具 应用程序是一个实用程序,可用于:
· 测试消息模式;
· 将旧的模式数据库转换为最新的数据库格式;
· 将模式数据库合并到一个文件中;
· 转储从模式数据库(或其一部分)构建的 RADIX 树以探索如何
模式匹配有效。
“ DUMP 指挥
倾倒 [选项]
显示从模式构建的 RADIX 树。 这显示了模式如何
在 syslog-ng 中表示,它也可能有助于追踪模式匹配问题。
转储实用程序可以转储用于匹配程序或 MSG 部分的树。
--pdb or -p
要使用的模式数据库文件的名称。
- 程序 or -P
显示从属于该模式的模式构建的 RADIX 树 $程序 应用程序。
--程序树 or -T
显示 $程序 树。
示例和示例输出:
pdbtool dump -p patterndb.xml -P 'sshd'
'p'
'assword for'
@QSTRING:@
'从'
@QSTRING:@
'港口 '
@NUMBER:@ rule_id='fc49054e-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc55cf86-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc4b7982-75fd-11dd-9bba-001e6806451b'
'ublickey'
@QSTRING:@
'从'
@QSTRING:@
'港口 '
@NUMBER:@ rule_id='fc4d377c-75fd-11dd-9bba-001e6806451b'
' ssh' rule_id='fc5441ac-75fd-11dd-9bba-001e6806451b'
'2' rule_id='fc44a9fe-75fd-11dd-9bba-001e6806451b'
“ MATCH 指挥
匹配 [选项]
使用 匹配 命令来测试模式数据库中的规则。 该命令尝试匹配
针对数据库模式的指定消息,评估
模式,还显示消息的哪一部分被成功解析。 命令
返回一个 0 (成功)或 1 (不匹配)返回代码并显示以下内容
信息:
· 分配给消息的类(即系统、违规等),
· 与消息匹配的规则的 ID,以及
· 解析器的值(如果匹配模式中有解析器)。
这个 匹配 命令有以下选项:
--色差 or -c
为终端输出着色以突出显示成功的消息部分
解析。
--调试csv or -C
打印返回的调试信息 --调试模式 选项为
逗号分隔值。
--调试模式 or -D
打印有关模式匹配的调试信息。 另见 --调试csv
选项。
--文件= or -f
使用模式数据库处理指定日志文件的消息。 这个选项
允许离线分类消息,并将模式数据库应用于已经
现有的日志文件。 要从标准输入 (stdin) 读取消息,请指定一个
连字符 (-) 字符而不是文件名。
--过滤器= or -F
仅打印与指定的 syslog-ng 过滤器表达式匹配的消息。
- 信息 or -M
要匹配的日志消息的文本(仅 $消息 没有系统日志的部分
头)。
--pdb or -p
要使用的模式数据库文件的名称。
- 程序 or -P
要使用的程序的名称,包含在 $程序 系统日志消息的一部分。
--模板= or -T
用于格式化输出消息的 syslog-ng 模板表达式。
示例:以下命令检查 patterndb.xml 文件是否识别 已接受
公钥 HPMC胶囊 我的用户 , 127.0.0.1 端口 59357 ssh2 信息:
pdbtool match -p patterndb.xml -P sshd -M "从 127.0.0.1 端口 59357 ssh2 接受 myuser 的公钥"
以下示例将 sshd.pdb 模式数据库文件应用于日志消息
存储在 /var/log/messages 文件中,并仅显示收到
用户帐户 标签。
pdbtool 匹配 -p sshd.pdb \
–文件/var/log/messages \
–过滤器'标签(“usracct”);'
“ 合并 指挥
合并 [选项]
使用 合并 命令将单独的模式数据库文件合并为一个文件
(模式数据库通常存储在每个应用程序的单独文件中,以简化
维护)。 如果文件使用较旧的数据库格式,它会自动更新为
最新格式 (V3)。 见 这个 系统日志 管理员 产品指南[1] 详细信息
不同的模式数据库版本。
- 目录 or -D
包含要合并的模式数据库 XML 文件的目录。
--glob or -G
使用 glob 模式指定要合并的文件名,例如,使用通配符。 为了
有关 glob 模式的详细信息,请参阅 男子 水珠. 此模式仅适用于文件名,
而不是目录名称。
--pdb or -p
输出模式数据库文件的名称。
-递归 or -r
也可以合并子目录中的文件。
计费示例:
pdbtool 合并 --recursive --directory /home/me/mypatterns/ --pdb /var/lib/syslog-ng/patterndb.xml
目前无法在不合并的情况下转换文件,因此如果您只想
将旧模式数据库文件转换为最新格式,您必须将其复制到
空目录。
“ 图案化 指挥
模式化 [选项]
从包含大量日志的日志文件中自动创建模式数据库
消息。 生成的模式数据库打印到标准输出 (stdout)。 这
工具 模式化 命令使用数据聚类技术来查找相似的日志消息
并更换不同的零件 @ESTRING:: @ 解析器。 有关图案的详细信息
数据库和消息解析器,请参阅 这个 系统日志 管理员 产品指南[1]。 这
模式化 命令仅在 syslog-ng OSE 3.2 及更高版本中可用。
--文件= or -f
包含用于创建模式的日志消息的日志文件。 接收日志
来自标准输入(stdin)的消息,使用 -.
--迭代异常值 or -o
递归地迭代日志行以覆盖尽可能多的具有模式的日志消息
可能。
--命名解析器 or -n
要包含在模式数据库中的每个示例日志消息的数量
图案。 默认值: 1
--样本=
在解析器中包含生成的名称,例如, .dict.string1, .dict.string2,
等等。
--支持= or -S
如果至少达到指定的百分比,则将模式添加到输出模式数据库中
来自输入日志文件的日志消息与模式匹配。 例如,如果输入
日志文件包含 1000 条日志消息和 --支持=3.0 使用选项,模式是
仅当模式匹配至少 3% 的日志消息(即,
30 条日志消息)。 如果 patternize 没有创建足够的模式,请尝试减少
支持价值。
默认值: 4.0
计费示例:
pdbtool 模式化 --support=2.5 --file=/var/log/messages
“ 测试 指挥
测试 [选项]
使用 测试 命令来验证模式数据库 XML 文件。 请注意,您必须拥有
xmllint 应用程序安装。 这 测试 命令仅在 syslog-ng OSE 版本中可用
3.2年及以后。
- 证实
验证模式数据库 XML 文件。
计费示例:
pdbtool 测试 --validate /home/me/mypatterndb.pdb
使用 onworks.net 服务在线使用 pdbtool
