如果你的需求就是非常簡單的監視某個用戶的密碼是否有改動,如果有改動就發email的話,可以做得更簡單點。
把MySQL的log指向syslogd,具體做法請google下。這樣messages這個文件裏就會用所有MySQL的動作,你自己甚至可以編一個很簡單的script來grep或者其他辦法來monitor某些特俗關鍵字,比如authenticate failed等等... ...。如果發現立馬自己send email,這個辦法甚至都不需要splunk,畢竟slpunk比較大,又是web,又是db,還有一堆的規則要製定,就為了那麽一個小case,有點不值得。
但是這裏值得注意的是,如果用grep,那麽會有一定問題,比如,很早以前發生的fail事件,你的腳本也可能當成是現在發生的,所以你需要一個機製來判斷是最近發生的,具體如何做,你看情況自己解決,應該不會太難。原則是,係統的原始log應該不可以被修改。估計你們SA也不會給你們修改的權利。所以自己想辦法。
我也隻能說這麽多,因為你的情況我不了解,也無法給出更細致的步驟了。好運
