La surveillance des fichiers journaux et la détection de motifs textuels spécifiques est une tâche cruciale pour les professionnels de l’informatique, en particulier dans le contexte de l’administration des systèmes et de la cybersécurité. Les scripts automatisés capables d’alerter sur des chaînes de texte spécifiques dans les fichiers sont des outils inestimables dans la boîte à outils d’un professionnel de l’informatique.
Le script présenté effectue cette tâche efficacement, et offre une solution performante pour surveiller les fichiers journaux et alerter sur l’occurrence de chaînes de texte spécifiques. Ce article se penchera sur les fonctionnalités du script, explorera ses applications dans le monde réel et discutera des bonnes pratiques de son utilisation.
Comprendre le script et sa signification
Dans les environnements informatiques, les fichiers journaux sont générés en permanence par divers systèmes, applications et processus. Ces journaux contiennent des informations essentielles sur les opérations du système, les erreurs, les événements de sécurité et les activités des utilisateurs. Toutefois, la surveillance manuelle de ces fichiers pour détecter les événements critiques ou les chaînes de texte n’est pas pratique et est sujette à des erreurs humaines. C’est là que l’automatisation par le biais de scripts devient essentielle.
Le script présenté est conçu pour rechercher un texte spécifique dans un fichier journal et générer une alerte lorsque ce texte est trouvé. Ce script est particulièrement utile pour les fournisseurs de services gérés (MSP) et les administrateurs informatiques qui doivent surveiller les journaux pour détecter les incidents de sécurité, les erreurs d’application ou tout autre événement important qui pourrait nécessiter une attention immédiate.
Le script :
#!/usr/bin/env bash # Description: Alert when the specified Text is found in a text file. # # Release Notes: Initial Release # By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use. # Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. # Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. # Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. # Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. # Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. # Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. # EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA). # # Text to trigger on: [Alert] # # Below are all the valid parameters for this script. # Preset Parameter: --file "/opt/MyLogFile.log" --text batman # Alerts when the text "batman" is found in the file /opt/MyLogFile.log # This is Case Sensitive # Example where it will alert: "I am batman!" # Example where it will alert: "Iambatman!" # Example where it will not alert: "IamBatman!" # Example where it will not alert: "I am Batman!" # # Preset Parameter: --file "/opt/MyLogFile.log" --text Batman --caseInsensitive true # Alerts when the text "Batman" is found in the file /opt/MyLogFile.log, but is case insensitive # This is Case Insensitive # Example where it will alert: "I am batman!" # Example where it will alert: "Iambatman!" # # Preset Parameter: --file "/opt/MyLogFile.log" --text Batman --wholeWord true # Alerts when the text "Batman" is found in the file /opt/MyLogFile.log, but only if it is a word in a sentence. # This is Case Sensitive # Example where it will alert: "I am Batman!" # Example where it will not alert: "IamBatman!" # # Determines whether or not help text is necessary and routes the output to stderr die() { local _ret="${2:-1}" test "${_PRINT_HELP:-no}" = yes && print_help >&2 echo "$1" >&2 exit "${_ret}" } # Function that evaluates whether a value passed to it begins by a character # that is a short option of an argument the script knows about. # This is required in order to support getopts-like short options grouping. begins_with_short_option() { local first_option all_short_options='ftiwh' first_option="${1:0:1}" test "$all_short_options" = "${all_short_options/$first_option/}" && return 1 || return 0 } # THE DEFAULTS INITIALIZATION - OPTIONALS _arg_file= _arg_text= _arg_caseInsensitive="false" _arg_wholeWord="false" # Help text function for when invalid input is encountered print_help() { printf '%s\n' "Alert when the specified Text is found in a text file." printf 'Usage: %s [-f|--file [path to file]] [-t|--text [text to search]] [-i|--caseInsensitive <true|false>] [-w|--wholeWord <true|false>] [-h|--help]\n' "$0" printf '\t%s\n' "-f, --file: path to a log file" printf '\t%s\n' "-t, --text: text to alert when found" printf '\t%s\n' "-i, --caseInsensitive: search text with case insensitivity (default: false)" printf '\t%s\n' "-w, --wholeWord: search for text as a whole word (default: false)" printf '\t%s\n' "-h, --help: Prints help" } # Grabbing the parameters and parsing through them. parse_commandLine() { while test $# -gt 0; do _key="$1" case "$_key" in -f | --file) test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1 _arg_file="$2" shift ;; --file=*) _arg_file="${_key##--file=}" ;; -f*) _arg_file="${_key##-f}" ;; -t | --text) test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1 _arg_text="$2" shift ;; --text=*) _arg_text="${_key##--text=}" ;; -t*) _arg_text="${_key##-t}" ;; -i | --caseInsensitive) test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1 _arg_caseInsensitive="$2" shift ;; --caseInsensitive=*) _arg_caseInsensitive="${_key##--caseInsensitive=}" ;; -i*) _arg_caseInsensitive="${_key##-i}" ;; -w | --wholeWord) test $# -lt 2 && die "Missing value for the optional argument '$_key'." 1 _arg_wholeWord="$2" shift ;; --wholeWord=*) _arg_wholeWord="${_key##--wholeWord=}" ;; -w*) _arg_wholeWord="${_key##-w}" ;; -h | --help) print_help exit 0 ;; -h*) print_help exit 0 ;; *) _PRINT_HELP=yes die "FATAL ERROR: Got an unexpected argument '$1'" 1 ;; esac shift done } parse_commandLine "$@" text=$_arg_text file=$_arg_file caseInsensitive=$_arg_caseInsensitive wholeWord=$_arg_wholeWord # Check if Script Variables where used and overwrite command line parameters if [[ -n "${textToMatch}" ]]; then text=$textToMatch fi if [[ -n "${textFile}" ]]; then file=$textFile fi if [[ -n "${matchWholeWord}" ]]; then wholeWord=$matchWholeWord fi if [[ -n "${insensitiveToCase}" ]]; then caseInsensitive=$insensitiveToCase fi # Check if text is not an empty string if [[ -z "${text}" ]]; then echo "[Error] Text not specified" exit 2 fi # Check if text is not an empty string if [[ -z "${file}" ]]; then echo "[Error] File not specified" exit 2 fi # Does file exit and is readable if [ -f "${file}" ]; then echo "[Info] File \"${file}\" exists" if [ -r "${file}" ]; then echo "[Info] File \"${file}\" is readable" else echo "[Error] File \"${file}\" is not readable" exit 2 fi else echo "[Error] File \"${file}\" does not exists" exit 2 fi # Detect count=0 if [[ "${wholeWord}" == "true" ]]; then if [[ "${caseInsensitive}" == "true" ]]; then count=$(grep -c -i -n -w "$text" "$file") else count=$(grep -c -n -w "$text" "$file") fi else if [[ "${caseInsensitive}" == "true" ]]; then count=$(grep -c -i -n -e "$text" "$file") else count=$(grep -c -n -e "$text" "$file") fi fi # Alert if ((count > 0)); then echo "[Alert] Found text in file" exit 1 else echo "[Info] Not found text in file" exit 0 fi
Accédez à plus de 700 scripts dans le Dojo NinjaOne
Description détaillée du script
Examinons de plus près le fonctionnement de ce script :
1. Analyse des paramètres :
- Le script commence par définir des paramètres par défaut tels que _arg_file, _arg_text, _arg_caseInsensitive et _arg_wholeWord. Ces paramètres sont ensuite analysés à partir de la ligne de commande, ce qui permet à l’utilisateur de spécifier le fichier à surveiller, le texte à rechercher et si la recherche doit être effectuée en tenant compte des majuscules ou des minuscules ou si elle doit être limitée aux mots entiers.
2. Arguments de la ligne de commande :
- Les utilisateurs peuvent passer divers arguments tels que –file, –text, –caseInsensitive, et –wholeWord pour personnaliser le comportement du script. Par exemple, –file spécifie le chemin d’accès au fichier journal, tandis que –text indique le texte à rechercher. Le script prend également en charge les recherches qui tiennent compte des majuscules ou des minuscules et les recherches limitées à des mots entiers.
3. Validation:
- Le script effectue plusieurs contrôles de validation, notamment en s’assurant que le texte à rechercher et le chemin d’accès au fichier sont tous deux fournis. Il vérifie également si le fichier spécifié existe et s’il est lisible. Ces validations empêchent le script de s’exécuter dans des conditions inappropriées, évitant ainsi des erreurs potentielles.
4. Recherche de texte:
- La fonctionnalité principale du script tourne autour de la commande grep, qui recherche le texte spécifié dans le fichier journal. En fonction des paramètres fournis, le script peut effectuer des recherches sans tenir compte des majuscules et des minuscules ou rechercher uniquement des mots entiers. Le résultat de la commande grep est stocké dans la variable count, qui indique combien de fois le texte spécifié a été trouvé.
5. Mécanisme d’alerte:
- Si le texte est trouvé dans le fichier, le script génère une alerte en imprimant un message et en sortant avec un code d’état de 1. Si le texte n’est pas trouvé, il sort avec un code d’état de 0, indiquant qu’il n’y a pas de condition d’alerte.
Cas d’utilisation dans le monde réel
Prenons l’exemple d’une entreprise MSP chargée de surveiller les journaux des serveurs d’un client pour y détecter des menaces de sécurité spécifiques, telles que des tentatives de connexion infructueuses. Ce script pourrait être configuré pour rechercher dans les fichiers journaux des phrases telles que « Échec du mot de passe » ou « Échec de l’authentification ». Lorsque le script détecte ces phrases, il alerte immédiatement l’entreprise MSP, ce qui lui permet de prendre rapidement des mesures pour enquêter sur les failles de sécurité potentielles et les mitiger.
Un autre exemple pourrait être celui d’un administrateur système qui doit surveiller les journaux d’application pour détecter les erreurs critiques. En configurant le script pour qu’il recherche des mots-clés tels que « ERROR » ou « CRITICAL », l’administrateur peut s’assurer qu’il est rapidement alerté de tout problème susceptible d’affecter les performances ou la disponibilité de l’application.
Comparaisons avec d’autres méthodes
Bien qu’il existe différents outils et méthodes pour la surveillance des fichiers journaux, comme l’utilisation de solutions de gestion centralisée des journaux comme ELK Stack (Elasticsearch, Logstash, Kibana) ou d’outils de surveillance basés sur le cloud, ce script offre une solution légère et directe qui ne nécessite pas d’infrastructure supplémentaire. Il est idéal pour les scénarios dans lesquels la simplicité et le déploiement rapide sont essentiels, ou lorsqu’un système de surveillance complet peut s’avérer excessif.
Questions fréquemment posées
- Q : Ce script peut-il être utilisé sur des systèmes autres que Linux ?
- R : Ce script est conçu pour les systèmes de type Unix, tels que Linux. Il s’appuie sur des commandes telles que grep, qui sont standard dans ces environnements. Bien qu’il soit théoriquement possible de l’adapter à d’autres systèmes, cela nécessiterait des modifications.
- Q : Comment le script gère-t-il les fichiers journaux volumineux ?
- R : Le script utilise grep, qui est efficace même avec des fichiers volumineux. Cependant, pour les fichiers très volumineux, les performances peuvent être affectées. Dans ce cas, il est conseillé d’utiliser un mécanisme de rotation des journaux ou des outils de gestion des journaux plus avancés.
- Q : Que se passe-t-il si plusieurs occurrences du texte sont trouvées ?
- R : Le script compte toutes les occurrences du texte dans le fichier et déclenche une alerte si une correspondance est trouvée, quel que soit le nombre d’occurrences.
Implications pour la sécurité informatique
La possibilité de surveiller les fichiers journaux à la recherche de chaînes de texte spécifiques est essentielle au maintien de la sécurité et de la stabilité des systèmes informatiques. Ce script peut constituer un élément essentiel d’une stratégie de sécurité plus large, en aidant les professionnels de l’informatique à détecter les menaces potentielles et à y faire face rapidement. En automatisant le processus de surveillance, le script réduit le risque de manquer des alertes et garantit que les problèmes critiques sont portés à l’attention en temps réel.
Recommandations pour l’utilisation du script
- Mettre régulièrement à jour le script: Veillez à ce que le script soit mis à jour avec les dernières fonctionnalités et améliorations. Des mises à jour régulières permettent également de remédier aux éventuelles failles de sécurité.
- Intégration avec d’autres outils: Envisagez d’intégrer ce script à des outils de notification tels que les e-mails ou les alertes SMS afin de vous assurer que les alertes sont reçues rapidement, même lorsque l’administrateur ne surveille pas activement le système.
- Test dans un environnement sûr: Avant de déployer le script dans un environnement de production, testez-le dans un environnement contrôlé pour vous assurer qu’il se comporte comme prévu avec vos fichiers journaux et vos cas d’utilisation spécifiques.
Conclusion
La surveillance des fichiers journaux à la recherche de chaînes de texte spécifiques est une pratique fondamentale de l’administration et de la sécurité informatiques. Ce script fournit une solution simple mais puissante pour automatiser ce processus, ce qui permet aux professionnels de l’informatique de détecter plus facilement les événements critiques et d’y répondre en temps réel. Pour ceux qui utilisent NinjaOne, ce type de script pourrait faire partie intégrante de votre stratégie globale de surveillance informatique, garantissant ainsi que vos systèmes restent sécurisés et opérationnels à tout moment.