Python - 从系统日志文件中检索信息

Question

我被要求使用 python 编写一个程序来完成作业。

我收到了一个系统日志文件，我必须找出有关它的信息。

我如何找出登录 root 帐户的尝试次数？

任何建议将不胜感激，因为我对 python 很陌生，完全迷失了！

Answer 1

您需要 /var/log/auth.log，而不是 syslog。

它将包含这样的行：

Mar 20 10:47:24 Opus su[15918]: pam_unix(su:auth): authentication failure; logname=lfaraone uid=1000 euid=0 tty=/dev/pts/25 ruser=lfaraone rhost=  user=root

完成该问题的基本、简单的代码如下：

loginattempts = {"root": 0,
                 "someuser": 0,} # Usernames you want to check
with open('/var/log/auth.log', 'r') as authlog:
    for line in authlog:
        if "authentication failure" in line:
            username = line.split('=')[-1] # split the string into an array, 
                                           # using '=' as the delimiter
            if username in loginattempts: # is the username one we care about?
                loginattempts[username] += 1

就像用户 calmh 建议的那样，从长远来看，使用正则表达式进行解析可能会更好，但如果您还不知道它们，学习起来可能并不简单。

Answer 2

像这样的东西

#open the file , can be /var/log/messages, /var/log/maillog etc as defined in your system
f=open("mysyslogfile")
count=0 
#go through the file
for line in f:
   if "<unique pattern for checking root account login>" in line:
       count+=1
#close the file
f.close()
print "total count: " ,count

Answer 3

您可能需要读取该文件，解析每一行。当您找到与您感兴趣的内容相匹配的行（例如，根登录失败）时，您将增加一个计数器。

看看如何读取文件以及可能的如何使用正则表达式。

如果您要对“实时”日志文件进行此检查（例如每五分钟一次），则需要跟踪已处理的文件量，以免每次都读取全部内容。这稍微复杂一些，因为您需要记住执行之间的状态（文件大小）。在这种情况下，请查看 shelve 模块。