我已经尝试了好几天,但仍然在挣扎。
该脚本的目标是在多台服务器(特别是 29 台服务器)上执行实时日志监控,并关联服务器之间的登录失败记录。服务器日志会在每天23:59:59压缩,从0点开始新的日志。
我的想法是tail -f | grep "failed password" | tee centralized_log在每台服务器上使用,通过所有服务器名称的循环激活,在后台运行,并将登录失败记录输出到集中日志。但它不起作用。它会创建很多守护进程,一旦我终止脚本,它们就会变成僵尸。
我也在考虑tail每隔几分钟做一次。但是随着日志变大,处理时间会增加。如何设置指向前一个tail停止位置的指针?
那么您能否建议一种更好的工作方式来进行多日志监控和关联。除非完全必要,否则不鼓励额外安装。