SEC（簡單事件關聯器）：處理多個日誌文件

Question

我一直在尋找一個適合UNIX系統的好日誌文件處理器。

這裏是我的情況：

• 我們有產生大量日誌的IDM系統（20+）
• 我需要找到這些日誌錯誤並處理它們（最好 我送他們通過的nagios）
• 每個日誌文件可以包含相同的錯誤（可以在相同的時間發生在多個日誌文件 相同的錯誤）
• 我不想與電子郵件或通知被垃圾郵件，並且這些日誌產生一個通知各30秒

我試圖用logpp解決這個問題，但logpp沒有給我一個時間窗口和抑制相同消息的選項。 所以我去了SEC，在那裏你有很多強大的選擇。

不幸的是，SEC似乎一次打開所有文件，並且不區分日誌文件。這意味着，如果我在十分鐘內禁止了十分鐘的一些正則表達式條件，則在其他日誌文件中不能生成相同的消息。所以美國證券交易委員會基本上不關心錯誤來自何處。我做:)

我似乎有兩種選擇：

1. 每當我找到的東西，把它寫與前面的日誌名一般日誌文件和寫有調整的正則表達式的新條件（意思是：^ Logname。* error $）。但是，這是... 20個日誌
2. 或太多的工作：我用一個腳本，發送找到的條目的日誌，時間戳和計算窗口自己，這違背了美國證券交易委員會的目的:)

現在我的問題是：有沒有人有過和SEC或其他日誌文件觀察者一樣的問題？我似乎無法找到適合我所有需求的好程序。 還是我錯了？我錯過了什麼嗎？

感謝， 湯姆

Answer 1

SEC支持通過配套文件上下文從特定來源的事件。文件上下文是一個或多個文件的邏輯標識符，可以在SEC規則中用於限制匹配範圍。文件上下文可以使用--intcontexts命令行選項來設置。

如果您想在正則表達式匹配後檢索輸入日誌文件名，則會有一個特殊的匹配變量$ + {_ inputsrc}，它由SEC自動設置，可以與$ 1，$ 2和其他常規匹配變量。

另外，歡迎您將您的問題發佈到美國證券交易委員會的郵件列表，大多數用戶討論都在這裏進行。該列表也很可能爲您提供一個快速的答案。

親切的問候， 里斯託