Menghapus file log Checkmk Logwatch: apa yang ada di baliknya – dan cara membersihkannya
7 mins read

Menghapus file log Checkmk Logwatch: apa yang ada di baliknya – dan cara membersihkannya

Bulan Admin0Tagged , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,


Dalam hal pemantauan file log (Checkmk Logwatch), Checkmk melakukan apa yang Anda perlukan dalam kehidupan sehari-hari: Ia mengingat baris log mana yang telah diproses dan mengevaluasi entri baru berdasarkan aturan Anda. Dalam praktiknya, cepat atau lambat Anda akan menemukan file di bawah ini .../var/check_mk/logwatch/… – sering dengan nama seperti Application atau Security. Kemudian muncul pertanyaan umum dari perusahaan: “Dapatkah saya membuangnya untuk memberi ruang atau memperbaiki kesalahan?”

Artikel ini menjelaskan secara singkat untuk apa file-file ini, kapan masuk akal untuk menghapusnya dan bagaimana Anda dapat “menghapus” file-file tersebut sehingga Anda tidak memotong informasi log sendiri.

Apa sih file logwatch Checkmk itu?

Di Checkmk, Logwatch pada dasarnya bekerja dalam dua tahap:

  1. Pada host yang dipantau mengumpulkan plugin agen (mk_logwatch.py) baris log baru dan menghasilkan output untuk agen Checkmk. Logwatch digunakan agar log yang lengkap tidak terbaca lagi pada setiap pemeriksaan Informasi negara (misalnya file offset, “Saya sudah membaca sejauh ini”) dan File kumpulan untuk jalur log yang diangkut.
  2. Di server Checkmk (situs OMD) Baris log yang disediakan oleh agen ditampilkan sebagai status layanan (OK/WARN/CRIT). Bergantung pada pemeriksaan/penyiapan, Checkmk juga dapat meneruskan baris log ke Konsol Acara.

Checkmk mendokumentasikan penyimpanan umum untuk file negara dan batch terutama di sisi host (Linux/Windows), termasuk logwatch.state.* Dan logwatch-batches/*. File-file ini adalah bagian penting dari logika “hanya baris baru”. (Dokumentasi resmi menyebutkan, antara lain logwatch.state.* Dan logwatch-batches/* sebagai lokasi penyimpanan.)

Mengapa file terkadang disebut “Aplikasi” dan “Keamanan”?

Saat Anda memantau log peristiwa Windows, Anda hampir selalu menemukan istilah berikut:

  • Aplikasi: Peristiwa aplikasi (macet, kesalahan, mulai/berhenti, “Kesalahan Aplikasi” dll.)
  • Keamanan: Audit dan peristiwa keamanan (login, gagal masuk, akses, perubahan kebijakan)

Bergantung pada pengaturan, kutipan atau “status kerja” yang relevan saat ini dari sumber log ini akan berakhir sebagai file dalam konteks Logwatch instans Checkmk Anda.

Apa gunanya file-file ini (dijelaskan secara sederhana)?

Logwatch bukan SIEM. Ini adalah “pemantauan” dalam pengertian klasik: Anda menentukan pola mana yang kritis atau peringatan, dan Checkmk menetapkan status layanan yang sesuai.

Agar ini berfungsi dengan andal, Logwatch memerlukan semacam memori internal:

  • Baris log mana yang sudah diproses?
  • Laporan manakah yang baru dan belum dikonfirmasi?
  • Bagaimana cara menghindari pemindaian ulang gigabyte setiap kali saya bertanya?

Di sinilah tepatnya mekanisme negara bagian/batch membantu. Checkmk sendiri menulis bahwa Logwatch biasanya menggunakan “baru, belum dikonfirmasi, dan kritis” sebagai kriteria untuk mengubah baris log berbasis peristiwa menjadi layanan berbasis status. (docs.checkmk.com)

Dalam kasus apa file-file ini harus (atau dapatkah) dihapus?

Pertama-tama: Di banyak lingkungan, “memberi ruang” tidak banyak gunanya. File-file tersebut seringkali tidak berukuran besar, dan penghapusan buta lebih merupakan kegagalan daripada keuntungan.

Masih ada alasan yang masuk akal – biasanya ini:

Saat Logwatch “meluap” atau diblokir

Checkmk biasanya memperbarui informasi di direktori ini sendiri, tetapi terkadang file ini “diblokir” dan Checkmk tidak dapat memperbaruinya. Dalam kasus seperti itu, sebaiknya hapus secara manual.

Jika Anda secara sadar ingin memulai kembali evaluasi

Contoh: Anda telah mengubah aturan file log secara signifikan (pola, klasifikasi) dan ingin “membersihkan” status tanpa pesan-pesan lama yang sudah terlihat menghantui status tersebut.

Jika Anda menghapus pesan dalam file log, Checkmk akan mengisinya dengan informasi terkini saat pesan tersebut dijalankan lagi.

Penting: Anda mungkin memerlukan file ini untuk pemecahan masalah

Jangan hanya menghapus informasi dalam file-file ini. Jika Anda ingin menganalisis suatu kesalahan, Anda akan kekurangan informasi.

Selama file tersebut tidak menimbulkan masalah, biarkan saja di sana. Mereka tetap diisi ulang setiap kali agen dijalankan (jadi tidak ada gunanya menghapusnya) dan hampir tidak menggunakan memori apa pun (1 – 10 MB)

Sebelum menghapus: baca dulu, lalu putuskan

File-file ini berisi informasi yang relevan: indikasi kesalahan konfigurasi, masalah login, kerusakan layanan, perubahan kebijakan, dll. Oleh karena itu:

  • Lihat file (z.B.mitos less) atau
  • Salin ke PC admin Anda (z.B.melalui scp) dan arsip

Jika Anda tidak yakin tentang alat shell: Jalan memutar cepat ke editor teks dapat membantu – tergantung apakah Anda lebih paham nano atau vim untuk digunakan. (Kami memiliki klasifikasi yang bagus tentang nano vs vim – editor teks Unix mana yang lebih baik?.)

Cara menghapus (atau mengosongkan) file logwatch Checkmk di situs OMD

Situasi awal dari latihan: Anda dapat menemukannya di server Checkmk di situs Anda di bawah var/check_mk/logwatch/ file terkait host.

1) Ubah ke direktori yang benar

Jalur umum (harap sesuaikan nama situs dan FQDN host):

cd /omd/sites/<sitename>/var/check_mk/logwatch/<FQDN>
ls -lah

Di sana Anda akan melihat, misalnya: b. Application Dan Security.

2) Kosongkan konten alih-alih “hapus keras”

Dalam banyak kasus memang demikian terpotong (Atur file ke 0 byte) adalah varian yang lebih bersih karena hak/pemilik/keberadaan file dipertahankan.

echo > Application
echo > Security

Alternatifnya, sedikit lebih “klasik”:

: > Application
: > Security

Kedua varian mengatur file ke ukuran 0 – dengan kata lain, file tersebut diekspor.

3) Opsional: Periksa kepemilikan dan hak

Jika Anda bekerja sebagai pengguna instans (mis OMD[sitename]:~$), itu biasanya berhasil. Jika tidak:

ls -l

Jika Anda memiliki izin yang tidak biasa, Anda harus terlebih dahulu menjelaskan mengapa hal ini terjadi sebelum Anda mencoba lebih jauh.

Apa yang terjadi setelahnya dalam pemantauan?

Setelah dikosongkan, hal berikut biasanya terjadi:

  • Layanan Logwatch mengembalikan status “segar”.karena Checkmk tidak lagi melihat pesan lama dari file ini.
  • Peristiwa log baru Sejak saat itu, mereka akan kembali normal dan akan dievaluasi sesuai aturan Anda.
  • Jika file tersebut berstatus berfungsi/batch untuk pesan yang sudah dikenali, mungkin itu masalahnya Laporan tidak lagi muncul sebagai “belum dikonfirmasi” dalam jangka pendekkarena Anda menghilangkan konteks lokal.

Penting: Logwatch hanya didasarkan pada pemrosesan baris baru sejak proses terakhir. Prinsip ini secara eksplisit dijelaskan dalam dokumentasi Checkmk (“semua baris baru sejak dijalankan terakhir”). Saat Anda menyetel ulang status/status kerja, Anda memengaruhi logika “sejak terakhir kali” ini. (docs.checkmk.com)

Ringkasan

Jadi kami belajar:

  • Checkmk menggunakan ini Logwatch-Logdateien sekitar satu Pemantauan yang lebih berkinerja – dan lebih efisien untuk mengaktifkan.
  • Masuk akal untuk mencatat file log Logwatch hapus jika Anda gantung diri atau meluap.
  • Masuk akal untuk mencatat file log Logwatch hapus jika Anda telah membuat perubahan besar pada sistem host dan ingin “menyegarkan” informasi Checkmk.
  • Memang benar tidak masuk akal, file log Logwatch hapus untuk memberi ruang, karena ini akan diisi lagi pada pemeriksaan berikutnya dan tidak menghabiskan banyak memori.
  • Jika Anda menghapus file, Anda tidak akan merusak apa pun, Namun, sebaiknya Anda membacanya terlebih dahulu atau mengarsipkannya jika Anda memerlukannya untuk pemecahan masalah.

Posting dan informasi tambahan

Jika Anda belum menggunakan Checkmk dan ingin mengetahui lebih lanjut tentangnya, ada baiknya Anda juga melihat dasar-dasarnya – misalnya B. di artikel kami Apa itu Checkmk?.

Jika Anda sudah menggunakan Checkmk di perusahaan Anda dan ingin mempersonalisasikannya, artikel Pemeriksaan Kustom di Checkmk: integrasikan skrip Anda sendiri dengan rapi dan luncurkan sebagai pemeriksaan lokal pasti menarik bagi Anda.

Jika Anda memerlukan dukungan untuk menginstal dan mengkonfigurasi Checkmk, lihat area informasi di situs web kami atau hubungi kami. Kami dengan senang hati membantu!

Artikel Menghapus file log Checkmk Logwatch: apa yang ada di baliknya – dan cara membersihkannya muncul pertama kali di blog.admin-intelligence.de.

News
Berita Teknologi
Berita Olahraga
Sports news
sports
Motivation
football prediction
technology
Berita Technologi
Berita Terkini
Tempat Wisata
News Flash
Football
Gaming
Game News
Gamers
Jasa Artikel
Jasa Backlink
Agen234
Agen234
Agen234
Resep
Cek Ongkir Cargo
Download Film

Leave a Reply

Your email address will not be published. Required fields are marked *

Website https://bulan.uk

Related Posts