將具有特定片語的特定日誌發送到我的郵件

我想將具有特定片語的特定日誌發送到我的郵件。

例如：

ERROR LOG SOMETHING.COM IP XX.XXX.XXX.XXX PORT:2343 Bad XXXXXXX

如果上面的日誌有 phase SOMETHING.COM，請將此日誌發送到電子郵件。

有可能在logwatchor中kibana嗎？或者也許是別的什麼？

這可以通過簡單的事件相關器和配置文件來完成

type=SingleWithThreshold
ptype=SubStr
pattern=SOMETHING.COM
desc=SOMETHING.COM
action=pipe '%s' /usr/bin/mail -s 'SOMETHING.COM' jdoe@example.org
window=86400
thresh=1

並被sec告知將包含上述內容的文件用於日誌出現的文件（這將根據sec安裝方式、是否有供應商包等而有所不同）。

window除非您喜歡為每個匹配的日誌行處理成百上千的電子郵件消息，否則這一點相當重要；sec有其他方式匯總或總結結果；請參閱文件。

引用自：https://unix.stackexchange.com/questions/409742