如果你的需求就是非常简单的监视某个用户的密码是否有改动,如果有改动就发email的话,可以做得更简单点。
把MySQL的log指向syslogd,具体做法请google下。这样messages这个文件里就会用所有MySQL的动作,你自己甚至可以编一个很简单的script来grep或者其他办法来monitor某些特俗关键字,比如authenticate failed等等... ...。如果发现立马自己send email,这个办法甚至都不需要splunk,毕竟slpunk比较大,又是web,又是db,还有一堆的规则要制定,就为了那么一个小case,有点不值得。
但是这里值得注意的是,如果用grep,那么会有一定问题,比如,很早以前发生的fail事件,你的脚本也可能当成是现在发生的,所以你需要一个机制来判断是最近发生的,具体如何做,你看情况自己解决,应该不会太难。原则是,系统的原始log应该不可以被修改。估计你们SA也不会给你们修改的权利。所以自己想办法。
我也只能说这么多,因为你的情况我不了解,也无法给出更细致的步骤了。好运
