Конфигурирование и запуск Swatch
Swatch - утилита командной строки, и запускается командой swatch с различными параметрами, описанными в табл. 8.1.
Например, команда
./swatch --config-file /home/john/my-swatch-config --daemon
запустит Swatch с конфигурационным файлом /home/john/my-swatch-config вместо подразумеваемого. Программа будет выполняться как фоновый процесс или демон. Эти опции могут задаваться по отдельности или вместе.
--config-file имя_конфигурационного_файла | Swatch запускается с указанным конфигурационным файлом. По умолчанию используется ./swatchrc. |
--restart-time время | Swatch перезапускается в указанное время. Можно использовать знак +, чтобы программа перезапустилась по истечении заданного времени с текущего момента. Это полезно, чтобы освежить имеющийся образ файла журнала. |
input-record-separator регулярное_выражение | Эта опция предписывает Swatch применять регулярное выражение для определения границ между записями и строками в файле журнала. По умолчанию используется возврат каретки, но если в вашей операционной системе применяется что-то иное, можно указать это здесь |
daemon | Swatch запускается как системный демон. Эквивалентно запуску Swatch с ключом & (амперсанд) |
--examine файл | Предписывает Swatch выполнить полный просмотр указанного файла. Применяется, когда проверяемый файл каждый раз создается заново |
--read-pipe программа | Вместо чтения файла можно заставить Swatch осуществлять ввод непосредственно из канала от указанной программы |
--tail файл | Читать только вновь добавленные в файл строки. Это подразумеваемый режим Swatch на файлах журналов, так как новые записи обычно добавляются в конец существующего файла. Это значительно быстрее, чем каждый раз читать весь файл, особенно для журналов, которые могут достигать больших размеров, как, например, журнал Web-сервера |
В табл. 8.2 описаны некоторые дополнительные опции, которые можно применять для управления чтением файлов журналов. В каждый момент времени допускается использование только одной из них. Например, команда
./swatch - examine messages - daemon
заставит Swatch при каждом запуске выполнять поиск во всем файле messages, а не только во вновь добавленных строках
Swatch обычно просматривает UNIX-файл messages, а при отсутствии такового по умолчанию читается syslog. При помощи ключей из табл. 8.2 можно заставить Swatch просматривать любые файлы журналов, например, журналы безопасности или даже файлы журналов определенных приложений, такие как nessus.messages