Анализ syslog

[Peter_I]

Здравствуйте!

Вот возникла необходимость мониторить и анализировать /var/log/syslog, возможно и другие логи - например,
когда кто-то вошёл в систему или вышел, а ещё правильнее сам процесс - чтобы в специальном файле фиксировались
не все события, пишущиеся в syslog, а только те, которые надо. Есть ли для этого специальные утилита, или демон,
или надо делать самому?

[F12]

когда кто-то вошёл в систему или вышел,

/var/log/wtmp - журнал записи входа пользователей в систему

Код: [Выделить]

sudo utmpdump /var/log/wtmpПользователь добавил сообщение 18 Апреля 2020, 09:21:33:- кроме того все еще актуальны tail + grep

[Peter_I]

Благодарю за ответ, я вчера запускал утилиты utmpdump и last, у utmpdump не работает опция "-r".
Но их надо запускать принудительно, а хорошо бы какую-нибудь готовую службу или демон, чтобы по факту
входа, выхода или попытки входа выводила сообщения. Насчёт faillog тоже знаю.

[F12]

у utmpdump не работает опция "-r"

- подробней можно?..

[Peter_I]

F12, так посмотрите "man utmpdump", секцию "BUGS". У меня с "-r" происходит Segmentation fault.

[Peter_I]

А ещё кто-нибудь может объяснить, как утилита last воспринимает границы времени? Например, чтобы вывести
записи за сегодняшний день, я должен с опцией "-t" указать завтрашнюю дату, например:

Код: [Выделить]

/usr/bin/last -x -F -s 2020-04-21 08:00:00 -t 2020-04-22 23:30:00 peter | /bin/grep tty7 | /usr/bin/tr -s " " >& wtmp.out
"user" и "tty" можно задать и как аргумены last.
Если же для "-t" указать тоже 21-е, то ничего не выводит.
Пользователь добавил сообщение 22 Апреля 2020, 17:43:08:Я сейчас обнаружил, что last по-разному работает от root'а и от пользователя. Конкретно, запрашиваю
от 2020-040-21 08:00 до 2020-04-22 23:30
для root выдаёт правильно, за оба числа, а для пользователя - только за 21-е.