BSD家族大觀 --1. FreeBSD

2024-07-26 00:29:08

字體：大中小

供稿：網(wǎng)友

Swatch - simple watcher

◎安裝
      更新相關(guān)檔案(cvsup)
      /usr/ports/security/swatch # make install
      /usr/ports/security/swatch # make clean

◎語(yǔ)法
  swatch
  [ --config-file file ] [ --restart-time time ]
  [--input-record-separator regex ]
  [ [ --examine file_to_examine ] | [ --read-pipe PRogram_to_pipe_from ] | [ --tail file_to_tail ] ]
  [ --daemon ]

◎swatch敘述:
       Swatch是被設(shè)計(jì)用來(lái)監(jiān)視系統(tǒng)動(dòng)作的程式。
       為了要讓Swatch能夠更加的強(qiáng)大，他需要一個(gè)用以比對(duì)的設(shè)定檔。

◎命令列的參數(shù):
       --config-file=filename or -c filename
   此參數(shù)告訴swatch到哪里去尋找他的設(shè)定檔案。
   預(yù)設(shè)值是放在${HOME}/.swatchrc 。

       --help
   顯示使用說(shuō)明。

       --input-record-separator=regular_expression
   此參數(shù)告訴swatch使用規(guī)則表示式來(lái)描繪每筆記錄的邊界。
   預(yù)設(shè)值是return。

       --restart-time=[+]hh:mm[am|pm] or -r [+]hh:mm[am|pm]
   在特定的時(shí)間之後重新啟動(dòng)，hh代表小時(shí)，mm代表分鐘。
   若am/pm被省略，則使用24小時(shí)制。
   若時(shí)間前加有"+"這個(gè)符號(hào)，則代表從新啟動(dòng)時(shí)間為，
   從目前時(shí)間再加上特定時(shí)間，此時(shí)am/pm會(huì)被忽略。.

       --script-dir=/path/to/directory
   這個(gè)參數(shù)將產(chǎn)生的暫存script檔案存放到特定的資料夾，
   而不是使用者的家目錄之下。
   強(qiáng)烈建議，您不要使用別的使用者也有權(quán)限寫入的資料夾，
   舉例來(lái)說(shuō)/tmp。

       --version or -V
   顯示版本資訊。

       以下的參數(shù)，不能并存，只能選擇其一執(zhí)行。

       --tail-file=filename or -t filename
   當(dāng)他們被附加到某一檔案時(shí)，以行為單位檢視文字檔案。

       --read-pipe=command or -p command
   從命令檢視輸入。

       --examine=filename or -f filename
   將filename視為檢視檔案來(lái)檢視。swatch將會(huì)進(jìn)行一個(gè)個(gè)別檢視經(jīng)由這個(gè)檔案。

       以下的參數(shù)純粹用於除錯(cuò)過(guò)程，但是為了完整性仍將其列出。

       --dump-script[=filename]
   當(dāng)watcher script產(chǎn)生時(shí)，不執(zhí)行之反而將其寫入到一個(gè)檔案或者到標(biāo)準(zhǔn)輸出。

       若swatch在無(wú)參數(shù)狀態(tài)執(zhí)行，如同加入下列參數(shù)執(zhí)行。

   swatch --config-file=~/.swatchrc --tail-
   file=/var/log/syslog

   若 /var/log/messages 存在，則

   swatch --config-file=~/.swatchrc --tail-
   file=/var/log/messages

       若設(shè)定檔不存在，以下的設(shè)定則被使用。

       watchfor  /.*/
   echo modes=random

       搜尋比對(duì)檔案中所有以.*開頭的行
       并且用隨機(jī)模式顯示色彩型態(tài)。

◎設(shè)定檔說(shuō)明:
       這個(gè)設(shè)定檔由swatch(8)程式去界定什麼型態(tài)的表達(dá)樣式需要被搜尋比對(duì)。

       每一行需包含一個(gè)關(guān)鍵字及一個(gè)關(guān)鍵字的值(有時(shí)是選擇性的)。
       關(guān)鍵字及其值，以一個(gè)空白鍵或等號(hào)"="分隔。

       watchfor regex

       ignore regex

       echo [modes]
           以何種顏色顯示符合的行。
   這些模式能在xterm上顯示，其中Normal(正常字)是預(yù)設(shè)值。
   可用的值：
   normal(正常字),bold(粗體), underscore(底線), blink(閃爍), inverse(倒反),
   black(黑), red(紅), green(綠),yellow(黃), blue(藍(lán)), magenta(品紅),
   cyan(青綠), white(白), black_h, red_h,green_h, yellow_h,
   blue_h, magenta_h, cyan_h,white_h.
   _h表示高亮度色彩。

       bell [N]
   顯示符合的行，并且送出N次的響聲。(預(yù)設(shè)值為1次)

       exec command
   執(zhí)行某命令。這個(gè)命令可能包含變因(取代符合的行)。
   $N 將會(huì)取代在符合行中的第N個(gè)field。
   $0 或 $* 將會(huì)完全取代符合行。

       mail [addresses=address:address:...][,subject=your_text_here]
   當(dāng)內(nèi)容符合時(shí)，送出郵件給這些郵件位置的人。
   預(yù)設(shè)的郵件收件人為執(zhí)行此程式的使用者。

       pipe command[,keep_open]
   將符合內(nèi)容導(dǎo)為命令，使用keep_open參數(shù)來(lái)強(qiáng)制執(zhí)行，
   直到另一個(gè)導(dǎo)管被執(zhí)行或swatch結(jié)束。

       write [user:user:...]
   將符合內(nèi)容以write方式來(lái)通知使用者。

       throttle hours:minutes:seconds,[use=message|regex]
   使用這個(gè)參數(shù)來(lái)限制產(chǎn)生符合樣式的次數(shù)。

   use=regex參數(shù)造成throttling以規(guī)則表示式為基礎(chǔ)，而不是message
   (預(yù)設(shè)值為use=message)

       continue
   使用這個(gè)參數(shù)會(huì)讓swatch在完成目前比對(duì)之後，
   繼續(xù)嘗試去比對(duì)其他樣式。

       quit
   使用這個(gè)參數(shù)會(huì)使swatch立刻清除并結(jié)束。

◎特別參數(shù)
       此參數(shù)可以用在上面任何一個(gè)參數(shù)。

       when=day_of_week:hour_of_day

           此參數(shù)定義，視窗的時(shí)間及日期，此時(shí)動(dòng)作被執(zhí)行。
           舉例說(shuō)明:

       [email protected],when=1-6:8-17

◎設(shè)定檔舉例:
       watchfor /file system full/
   echo
   bell
   throttle 01:00

       這個(gè)例子是一行包含"file system full"的字串，將會(huì)被顯示及螢?zāi)话l(fā)出聲響，
       多樣的(合的)訊息例子將不會(huì)被顯示，
       若他們出現(xiàn)時(shí)間與第一次出現(xiàn)時(shí)刻相距在一分鐘之內(nèi)。
       此參數(shù)可以避免有心人士利用swatch進(jìn)行攻擊...

◎說(shuō)明:雖然每個(gè)swatchrc只能記錄一個(gè)日檔，但您可以同時(shí)執(zhí)行多個(gè)swatch ...
              swatch -c .swatchrc.01
              swatch -c .swatchrc.02

◎執(zhí)行狀況:
            1.以純粹的swatch命令
              $swatch
              產(chǎn)生結(jié)果如下...最後我用ctrl+c中斷您也可以用&背景執(zhí)行。


              其中用紫色涂起來(lái)的表示個(gè)人帳號(hào)與swatch無(wú)關(guān)故省略
              很明顯可以看到因?yàn)槲覜](méi)有設(shè)定任何設(shè)定檔
              所以他也讀不到，所以swatch用預(yù)設(shè)狀態(tài)執(zhí)行...
              然後他會(huì)顯示預(yù)設(shè)的設(shè)定值(前面有說(shuō)明在此省略)

              然後顯示swatch的啟動(dòng)時(shí)間...
              等待一陣子之後..有一個(gè)使用者登入成功用高亮度色彩記錄下來(lái)了...
              目的達(dá)到所以中斷之..。

              當(dāng)然失敗的也會(huì)被紀(jì)錄...

              你一定覺(jué)得這個(gè)訊息沒(méi)有什麼用處吧..?
              別懶了...修改一下設(shè)定檔..
              舉例說(shuō)明:
                   watchfor /failed|reject/
                   echo yellow_h

              換成您想要的關(guān)鍵字至於改成什麼？看個(gè)人功力....
              什麼樣的程度是你所關(guān)心的系統(tǒng)報(bào)告...自行取..

◎作者:
   E. Todd Atkins
   [email protected]

◎相關(guān)資源:
       官方FTP位置:
       ftp://ftp.stanford.edu/general/security-tools/swatch
       最新版本可以在下面獲得
       http://www.oit.ucsb.edu/~eta/swatch/latest.tar
       官方網(wǎng)頁(yè)位置:
       http://www.stanford.edu/~atkins/swatch
       http://www.oit.ucsb.edu/~eta/swatch

上一篇：在FreeBSD上運(yùn)行Windows軟件

下一篇：FreeBSD 中 Samba Server安裝設(shè)定