日志过滤器

1. 安全相关的关键字

认证失败

regex复制代码Failed\s+password
Invalid\s+user
authentication\s+failure
Failed\s+publickey
Failed\s+keyboard-interactive/pam

用户相关

regex复制代码useradd\[
userdel\[
usermod\[
sudo:\s+.+:.*\s+COMMAND=

SSH相关

regex复制代码sshd:
Accepted\s+password
Accepted\s+publickey
session\s+opened
session\s+closed

2. 系统错误和告警

内核相关

regex复制代码kernel:\s+panic
kernel:\s+Oops
kernel:\s+BUG
kernel:\s+Out\s+of\s+memory
kernel:\s+watchdog

文件系统相关

regex复制代码EXT4-fs\s+error
XFS\s+\(dm-
btrfs:

硬件相关

regex复制代码I/O\s+error
failed

3. 服务和应用程序错误

服务失败

regex复制代码service:\s+Failed
service:\s+stopped
service:\s+exited

应用程序错误

regex复制代码segfault
core\s+dumped
oom-killer

4. 网络相关

网络接口问题

regex复制代码link\s+is\s+down
link\s+is\s+up
NIC\s+Link\s+is\s+Down
NIC\s+Link\s+is\s+Up

防火墙

regex复制代码iptables:
firewalld:

5. 审计日志

SELinux相关

regex复制代码SELinux\s+is\s+preventing
avc:\s+denied

审计

regex
复制代码
audit:

6. 磁盘和存储

磁盘空间不足

regex复制代码No\s+space\s+left\s+on\s+device
disk\s+quota\s+exceeded

RAID相关

regex复制代码mdadm:
raid

7. 高负载和性能问题

高负载

regex
复制代码
load\s+average

CPU/内存使用

regex复制代码Out\s+of\s+memory
oom_reaper
Memory\s+cgroup\s+out\s+of\s+memory