Co jsou to logy a jaký mají smysl je uvedeno v tomto článku.

Popis a možnost stažení, anglicky
Logsurfer umí dynamicky vytvářet pravidla a seskupovat řádky z logů podle kontextu a posuzovat tyhle sloučené řádky jako jeden celek (ostatní nástroje - LogSentry, Swatch aj.) zkoumají pouze jednotlivé řádky samostatně.
Konfigurace je složitější, jako vždy je něco za něco. Konfigurační soubor vypadá následovně:

match-exp not-match-exp stop-exp not-stop-exp timout action

Což znamená:
match-exp regulární výraz, zda má být řádek zpracován
not-match-exp regulární výraz, zda má být řádek vynechán ze zpracování. Tyhle dvě podmínky umožňují konstrukce „Pokud platí A, ale zároveň neplatí B“
stop-exp - pokud vyhovuje výrazu, smaže pravidlo
not-stop-exp - obdoba not-match-exp. Pravidlo se smaže, pokud platí stop-exp a zároveň neplatí not-stop-exp.
timeout jak dlouho má být pravidlo aktivní (0 je stále)
action akce která se má provést (viz dále)

V položce action je možné uvést:

ignore - pravidlo bude ignorováno
exec - spustí zadaný program, script atp.
pipe - spustí zadaný program a příslošný řádek pošle na jeho vstup
open - spustí nový kontext
delete - smaže kontext
report - otevře program a předá mu všechny záznamy v příslušném kontextu
rule - vytvoří dynamické pravidlo

obsahuje více nástrojů, např portsentry, ale také analyzátor logů LogSentry. Více viz server sourceforge nebo na www.linuxsoft.cz, podrobnější ale starší na abclinuxu.cz.
Co umí? Používá několik souborů, v nichž jsou definovány regulární výrazy pro egrep a v nich se rozhodne, zda řádek ohlásit nebo ignorovat. Hlášení se obvykle odesílá uživateli root emailem.

Domovská stránka projektu
Ke stažení
Umí číst logy dávkově nebo průběžně, umí i sledovat výstupy libovolných příkazů. Instalace vytváří konfigurační soubor v /home/user/.swatchrc.
Podle nastavení umí reagovat výpisem (echo), zvonkem (bell), spuštěním příkazu (exec), emailovou zprávou (mail), přeposláním zkoumaného řádku uživateli (write), předáním řádku na standardní vstup zadaného probramu (pipe) nebo odlišit reakci při opakování události (throttle).
Konfigurační soubor obsahuje vzorce a skupiny akcí. Protože jde o program napsaný v perlu, vzorcem musí být perlový regulární výraz. Pokud zkkoumaný řádek vyhovuje, proběhne definovaná akce / definované akce; lze jich totiž nastavit více\\. Příkaz pro jednorázovou analýtu:

swatch –examine=/var/log/nazev_souboru

Provede analýzu a pak bude reagovat na nové události:

swatch –tail-file=/var/log/nazev_souboru

Swatch má zajímavý způsob spouštění: při spuštění se vygeneruje nový spouštěcí soubor, který má v sobě obsaženy i parametry nastavené v .swatchrc. Po ukončení akce se smaže, při novém spuštění se generuje znovu. Pokud uděláte v .swatchrc chybu, bude chybný i spouštěný program.

v repozitářích Mandrivy najdete řadu dalších programů pro analýzu logů, s různým zaměřením. Některé jsou spíše laděny na odhalování bezpečnostních rizik (excalibur), jiné spíše obecné, na běžnou správu systému (fetchlog), nebo specielní určené pro spolupráci s určitým hardwarem (fwlogwatch, umí CISCO logy), jiné logují internetový provoz (iplog), analyzují zaznamy poštovních programů (isoqlog), určený pro proghlížení logů začátečníky (ksystemlog, součást KDE), dále v repozitářích najdete logwatch, mergelog, nulog a další.