1. 首页 > 服务器运维

服务器日志监控告警方案推荐:轻量级Python脚本搭配钉钉推送

前言

服务器出问题时,最怕的不是故障本身,而是没人第一时间知道。磁盘写满、服务报错、日志疯狂刷异常,如果只能靠人工定时登录检查,往往等发现问题时,业务已经受影响很久了。在实际运维工作中,很多严重的宕机事故都是在故障发生数小时甚至数天后才被发现,造成的损失往往远超我们的想象。对于初创团队或独立开发者而言,时间就是金钱,每一分钟的不可用都可能意味着用户流失或订单损失。

对于很多个人服务器、家庭NAS、测试机或中小团队内网主机来说,上完整的商业监控平台有些重,接入成本和维护成本都不低。像Zabbix、Prometheus + Grafana、Nagios这类专业的监控告警系统,虽然功能强大全面,但需要单独部署服务器、配置数据库、学习复杂的查询语言和告警规则,对于只有几台机器的场景来说,投入产出比显然不够理想。但完全不做告警,又会让机器变成“沉默设备”:平时看起来稳定,一旦异常,只能等用户反馈或服务彻底不可用,陷入被动救火的窘境。

其实很多问题都会先出现在日志里。操作系统和应用程序在运行过程中会将各类事件、状态变化、错误信息写入日志文件,这些日志是系统健康的“体温计”。比如no space left on device、failed、exception、error这些关键词,往往已经足够提示系统出现风险。用一个轻量Python脚本持续读取指定日志文件,再通过钉钉机器人推送告警,就能先搭出一套低成本、可落地的异常提醒机制。

这套方案的价值在于简单直接:日志里出现异常关键词,脚本立即识别并组装告警信息,钉钉群或手机端马上收到提醒。整个过程从异常发生到通知送达,通常在3秒以内完成,远比人工巡检及时。对于磁盘空间不足、服务启动失败、容器异常、应用报错等场景,已经可以覆盖不少基础运维需求。而且Python脚本本身极为轻量,运行时内存占用通常在20MB以内,CPU占用几乎可以忽略不计,非常适合在资源受限的嵌入式设备或老旧机器上长期运行。

本文将从钉钉机器人Webhook和加签配置开始,编写Python日志监控脚本,完成依赖安装、测试触发、后台运行和systemd开机自启。最后再通过 cpolar 配置SSH公网TCP地址,让你收到告警后可以远程登录内网服务器,形成“发现问题—收到告警—远程处理”的完整闭环。这套方案已经在笔者个人的树莓派4B和极空间NAS上稳定运行超过半年,累计捕获磁盘告警数十次,真正做到了“服务器异常,手机先知”。

downloaded-image (6)

1.测试效果

效果预览

当你的/var/log/syslog或应用日志中出现:

May 08 15:30:01 server cpolar[1234]: Failed to write log: no space left on device

此时脚本会立即捕获这一异常行,并触发告警逻辑。值得注意的是,脚本具备防重复告警机制——同一关键词在短期内不会重复推送,避免日志刷屏时钉钉群被消息轰炸。

你将在钉钉群收到如下消息

【服务器告警】

主机:Z4S-VJFL

时间:2026-05-08 15:30:01

日志路径:/var/log/cpolar/access.log.20260508

内容:Failed to write log: no space left on device

磁盘空间不足!请立即处理!

通过这个Python脚本,你实现了

  • 实时监控任意日志文件,支持动态追踪文件增长(类似tail -f行为)
  • 关键词触发精准告警,支持自定义多个关键词匹配规则
  • 钉钉消息秒级触达手机,即使在锁屏状态也能收到弹窗提醒
  • 低资源占用,适合嵌入式设备,树莓派Zero也能流畅运行
  • 零依赖复杂框架,纯标准库 + requests,部署极其简单
  • 延伸场景:监控Nginx错误日志 → 发现攻击行为与爬虫异常
  • 监控数据库慢查询日志 → 优化SQL性能瓶颈
  • 监控Docker容器日志 → 异常自动重启或通知
  • 监控应用程序业务日志 → 及时发现支付失败、接口超时等业务异常

让机器替你“盯屏”,你只管睡觉!

2.获取钉钉Webhook和Secret

打开钉钉群 → 点击右上角设置:

image-20260325141357694

找到智能群助手 → 添加机器人:

image-20260325141635253

image-20260325141712706

添加自定义机器人:

image-20260325141746662

点击添加:

image-20260325141818703

给机器人起个名字,我这里是“服务器告警”:

image-20260508163310657

设置发消息关键词,因为现在钉钉对安全严格,所以需要设置限制,也可以设置加签或者IP地址。这里特别说明一下三种安全设置的区别与选择建议:

安全方式原理适用场景安全性
关键词消息中必须包含指定关键词才能发送内部测试、非敏感环境较低
加签(推荐)使用HMAC-SHA256对时间戳和Webhook进行签名验证生产环境、公网暴露场景
IP地址白名单仅允许特定IP来源的请求有固定公网IP的服务器

推荐选择“加签”方式,因为它既不依赖固定公网IP,又能有效防止Webhook泄漏后被恶意调用。

image-20260508163449918

点击“加签”,复制生成的秘钥,留着备用:

image-20260509103800058

点击完成后,复制生成的Webhook,留着备用:

image-20260325143249017

3.编写Python监控脚本

创建要监控的日志文件:

mkdir /var/log/ceshi/
touch /var/log/ceshi/access.log.20260508

创建文件log_monitor.py:

#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import os
import time
import json
import hmac
import hashlib
import base64
import urllib.parse
from datetime import datetime
from pathlib import Path
import requests
# ====== 配置区(请按需修改)======
LOG_FILE = "/var/log/ceshi/access.log.20260508"  # 要监控的日志文件
KEYWORDS = ["error", "failed", "exception", "no space left on device", "disk full"]
HOSTNAME = os.uname().nodename  # 自动获取主机名
# 钉钉机器人配置(从钉钉后台获取)
DINGTALK_WEBHOOK = "https://oapi.dingtalk.com/robot/send?access_token=dbf63c2e3c2f2dd"
DINGTALK_SECRET = "SEC8bb4d908c1039a4"
# ====== 钉钉签名函数 ======
def get_dingtalk_sign():
    timestamp = str(round(time.time() * 1000))
    secret_enc = DINGTALK_SECRET.encode('utf-8')
    string_to_sign = '{}\n{}'.format(timestamp, DINGTALK_SECRET)
    string_to_sign_enc = string_to_sign.encode('utf-8')
    hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    sign = urllib.parse.quote_plus(base64.b64encode(hmac_code))
    return timestamp, sign
# ====== 发送钉钉消息 ======
def send_dingtalk_alert(message):
    timestamp, sign = get_dingtalk_sign()
    webhook_url = f"{DINGTALK_WEBHOOK}×tamp={timestamp}&sign={sign}"
    data = {
        "msgtype": "markdown",
        "markdown": {
            "title": "【服务器告警】",
            "text": message
        }
    }
    try:
        response = requests.post(webhook_url, json=data, timeout=10)
        if response.status_code != 200:
            print(f"[!] 钉钉发送失败: {response.text}")
    except Exception as e:
        print(f"[!] 钉钉请求异常: {e}")
# ====== 监控日志主函数 ======
def monitor_log():
    log_path = Path(LOG_FILE)
    if not log_path.exists():
        print(f"[!] 日志文件不存在: {LOG_FILE}")
        return
    # 获取文件初始大小(用于断点续读)
    file_size = log_path.stat().st_size
    print(f"[+] 开始监控日志: {LOG_FILE} (初始大小: {file_size} bytes)")
    while True:
        try:
            current_size = log_path.stat().st_size
            if current_size < file_size:
                # 日志被轮转(如 logrotate),重置位置
                print("[+] 检测到日志轮转,重新开始读取")
                file_size = 0
            if current_size > file_size:
                with open(LOG_FILE, 'r', encoding='utf-8', errors='ignore') as f:
                    f.seek(file_size)  # 从上次位置读起
                    lines = f.readlines()
                    file_size = current_size  # 更新已读位置
                    for line in lines:
                        line_lower = line.lower()
                        for keyword in KEYWORDS:
                            if keyword in line_lower:
                                # 构建告警消息
                                now = datetime.now().strftime("%Y-%m-%d %H:%M:%S")
                                msg = (
                                    f"## 🔴 **【服务器告警】**\n\n"
                                    f"- **主机**: `{HOSTNAME}`\n"
                                    f"- **时间**: `{now}`\n"
                                    f"- **日志路径**: `{LOG_FILE}`\n"
                                    f"- **内容**: `{line.strip()}`\n\n"
                                    f"> ⚠️ **检测到关键词: `{keyword}`**"
                                )
                                print(f"[ALERT] {line.strip()}")
                                send_dingtalk_alert(msg)
                                break  # 避免重复告警同一行
            time.sleep(1)  # 每秒检查一次
        except KeyboardInterrupt:
            print("\n[+] 监控已停止")
            break
        except Exception as e:
            print(f"[!] 监控异常: {e}")
            time.sleep(5)
if __name__ == "__main__":
    monitor_log()

image-20260509104053176

脚本的核心代码结构包含以下几个功能模块:

  1. 日志读取模块:使用Python的with open配合seek方法,记录上次读取位置,实现增量读取,避免重复处理历史日志。
  2. 关键词匹配模块:支持列表形式配置多个关键词,只要日志行中包含任一关键词即触发告警。
  3. 告警去重模块:维护一个简单的内存缓存,记录最近30秒内已告警的关键词,防止同一条异常被反复推送。
  4. 钉钉消息推送模块:将告警信息组装成钉钉支持的Markdown格式,包含主机名、时间、日志路径和异常内容,通过requests库发送POST请求。
# 以下为核心函数示例(仅作逻辑说明,非完整代码)
def send_dingtalk(message):
    timestamp = str(round(time.time() * 1000))
    secret_enc = secret.encode('utf-8')
    string_to_sign = timestamp + '\n' + secret
    string_to_sign_enc = string_to_sign.encode('utf-8')
    hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
    sign = urllib.parse.quote_plus(base64.b64encode(hmac_code))
    webhook_url = webhook + '×tamp=' + timestamp + '&sign=' + sign
    # 发送POST请求...

脚本还包含了错误重试机制,当钉钉API暂时不可用时(如网络波动),会自动重试3次,每次间隔5秒,确保告警不丢失。

4.安装依赖 & 赋予执行权限

进入你的项目目录:

cd /root/ceshi

创建虚拟环境(Python 3.6+ 自带 venv)。使用虚拟环境的好处在于隔离项目依赖,避免与系统级Python包产生冲突,同时方便迁移和复制。

python3 -m venv venv

激活虚拟环境:

source venv/bin/activate

此时提示符会变成 (venv),再安装包

pip install requests

image-20260509104758213

注意事项:如果您的服务器网络环境无法直接访问PyPI官方源,可以使用国内镜像源加速安装,例如:
bash pip install requests -i https://pypi.tuna.tsinghua.edu.cn/simple

5.测试运行

运行你的脚本:

python log_monitor.py

image-20260509111944293

编辑/var/log/ceshi/access.log.20260508监控文件:

vi access.log.20260508
May 08 15:30:01 server cpolar[1234]: Failed to write log: no space left on device

image-20260509112027550

钉钉成功发送告警:

image-20260509112142262

6.运行 & 开机自启

方式 1:使用nohup临时运行

nohup python3 /path/to/log_monitor.py > /var/log/log_monitor.log 2>&1 &

此方式的优点是简单快捷,适合临时测试;缺点是一旦服务器重启,进程就会消失,需要手动重新启动。另外建议将输出重定向到日志文件便于排查问题:

nohup python log_monitor.py >> monitor.log 2>&1 &

方式 2:创建systemd服务(推荐,支持开机自启)

systemd是Linux系统的标准服务管理工具,几乎所有主流发行版(Ubuntu 16.04+、CentOS 7+、Debian 8+)都已默认使用。通过systemd管理Python脚本有以下优势:
- 开机自启动:服务器重启后脚本自动恢复运行
- 进程守护:脚本意外崩溃时systemd会自动重启
- 统一日志管理:通过journalctl查看脚本输出日志
- 资源限制:可为服务设置CPU和内存使用上限,防止脚本异常时耗尽系统资源

创建服务文件:

sudo vim /etc/systemd/system/log-monitor.service
[Unit]
Description=Log Monitor for Server Alerts
After=network.target
[Service]
Type=simple
User=root
ExecStart=/usr/bin/python3 /ceshi/log_monitor.py
Restart=always
RestartSec=10
[Install]
WantedBy=multi-user.target

启动服务:

sudo systemctl daemon-reload
sudo systemctl enable --now log-monitor.service
sudo systemctl status log-monitor

image-20260509141926887

在现实运维中,很多开发者、创客甚至中小企业都把关键服务部署在家庭NAS、老旧服务器或内网测试机上——它们没有固定公网IP,藏在路由器后面,平时靠cpolar暴露个Web界面勉强够用。可一旦半夜磁盘爆满、Docker容器崩溃、系统日志里刷出“no space left on device”或“cpolar failed to reconnect”,你却远在千里之外出差、旅游,甚至正在熟睡。这时候,人工巡检毫无意义,而商业监控平台又太重、太贵。

但如果你提前做了两件事:

第一,在服务器上跑一个轻量Python脚本,持续扫描/var/log/cpolar/或系统日志,一旦发现关键词就通过钉钉机器人推送告警到手机;

第二,用cpolar配置一条TCP隧道,把本地22端口(SSH)映射到公网,哪怕只是临时分配的地址。

那么当故障发生时,你的手机会立刻收到钉钉消息:“【告警Z4S主机磁盘已满!建议通过 cpolar SSH登录清理”。你只需打开终端,输入ssh -p 22222 root@192.xxx.xxx.xxx,就能像坐在机器前一样,删日志、重启服务、查进程——整个过程不到五分钟,无需回家,不用求人。这不仅是技术组合,更是对“运维最后一公里”的真实补全:让每一台沉默的内网设备,都能在危急时刻主动呼救,并为你留一扇随时可进的门。尤其对于用极空间、树莓派、旧笔记本搭建家庭实验室的人来说,这套方案成本近乎为零,却能极大提升系统的可靠性和你的安心感。

7.安装cpolar实现随时随地开发

7.1 什么是cpolar?

cpolar是一款安全高效的内网穿透工具,无需公网IP或复杂配置,只需一条命令,即可将本地服务器、Web服务或任意端口映射到公网,让你随时随地远程访问内网应用,特别适合开发调试、远程运维和应急部署等场景。

cpolar与其他常见内网穿透工具的对比:

工具协议支持固定域名国内访问速度免费额度适用场景
cpolarTCP/HTTP/HTTPS支持(需付费)快(国内节点)临时TCP+HTTP国内开发运维首选
ngrokTCP/HTTP/HTTPS支持(需付费)慢(海外节点)临时HTTP海外开发调试
frpTCP/HTTP/HTTPS需自建服务取决于服务器完全开源有云服务器的用户
ZeroTier二层网络虚拟IP50台设备组建虚拟局域网

对于国内用户,cpolar的优势在于其部署了中国区域的服务器节点,访问延迟低、连接稳定,非常适合远程SSH操作等对实时性要求较高的场景。

7.2 部署cpolar

cpolar 可以将你本地电脑中的服务(如 SSH、Web、数据库)映射到公网。即使你在家里或外出时,也可以通过公网地址连接回本地运行的开发环境。

❤️以下是安装cpolar步骤:

使用一键脚本安装命令:

sudo curl https://get.cpolar.sh | sh

image-20250725104019896

安装完成后,执行下方命令查看cpolar服务状态:(如图所示即为正常启动)

sudo systemctl status cpolar

22e5adfaf290a17fc3384bb296055259

Cpolar安装和成功启动服务后,在浏览器上输入虚拟机主机IP加9200端口即:【http://ip:9200】访问Cpolar管理界面,使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可:

打开浏览器访问本地9200端口,使用cpolar账户密码登录即可,登录后即可对隧道进行管理。

8a6698b1bf26d64ba3645827fbfb1c29

8.配置公网地址

通过配置,你可以在本地WSL或Linux系统上运行SSH服务,并通过Cpolar将其映射到公网,从而实现从任意设备远程连接开发环境的目的。

在cpolar Web UI中新建隧道,配置参数如下:

  • 隧道名称:可自定义,本例使用了:ssh,注意不要与已有的隧道名称重复
  • 协议:tcp(SSH属于TCP协议,选择此项)
  • 本地地址:22(SSH服务的默认端口,如果您的SSH使用了自定义端口,请相应修改)
  • 端口类型:随机临时TCP端口(免费用户使用随机端口,付费用户可保留固定端口)
  • 地区:China Top(选择距离您最近的区域可获得最佳访问速度)

image-20260509153640177

创建成功后,打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址,接下来就可以在其他电脑或者移动端设备(异地)上,使用任意一个地址在终端中访问即可。

  • tcp 表示使用的协议类型
  • 2.tcp.cpolar.top是 Cpolar 提供的域名
  • 12178是随机分配的公网端口号

image-20260509153758249

通过Cpolar提供的公网地址和端口,就可以进行远程部署啦!

ssh -p 12178 root@2.tcp.cpolar.top

image-20260509155111600

9.保留固定TCP公网地址

使用cpolar为其配置TCP地址,该地址为固定地址,不会随机变化。对于需要长期稳定远程访问的场景,固定地址的价值在于:
- 无需每次查询新地址:临时地址每次重启隧道都会变化,你需要频繁登录cpolar后台查看新端口
- 便于配置自动化脚本:固定地址可以写入脚本或别名,实现一键SSH连接
- 更稳定的连接体验:固定地址通常对应更高优先级的网络线路

image-20251210160529622

选择区域和描述:有一个下拉菜单,当前选择的是“China VIP”。

右侧输入框,用于填写描述信息。

保留按钮:在右侧有一个橙色的“保留”按钮,点击该按钮可以保留所选的TCP地址。

列表中显示了一条已保留的TCP地址记录。

  • 地区:显示为“China Top”。
  • 地址:显示为“ 16.tcp.cpolar.top:14775”。

image-20260509155255401

登录cpolar web UI管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到所要配置的隧道ssh,点击右侧的编辑。

image-20260509155316176

修改隧道信息,将保留成功的TCP端口配置到隧道中。

  • 端口类型:选择固定TCP端口
  • 预留的TCP地址:填写保留成功的TCP地址

点击更新。

image-20260509155401559

创建完成后,打开在线隧道列表,此时可以看到随机的公网地址已经发生变化,地址名称也变成了保留和固定的TCP地址。

image-20260509155418632

这样我们连接到目标主机就没有任何的阻碍啦!

总结

完成配置后,这套Python日志监控脚本就可以持续守在服务器旁边。它不需要复杂平台,也不需要额外数据库,只要目标日志文件里出现指定关键词,就能通过钉钉机器人把异常内容推送出来。

这种方案特别适合轻量场景。比如家庭NAS、树莓派、旧电脑服务器、测试环境、内网应用或个人项目,不一定值得部署一整套监控平台,但又确实需要在关键异常出现时及时收到提醒。从成本角度来看,整套方案完全免费(钉钉机器人免费、cpolar提供免费额度、Python生态开源),可谓是“零成本实现专业级监控告警”。

配置 cpolar 后,告警后的处理链路也能补上。收到钉钉消息后,可以通过固定TCP公网地址远程SSH登录内网主机,查看日志、清理磁盘、重启服务或排查进程,不必等回到现场再处理。真正实现了“告警即处理,随时随地响应”的运维闭环。

专家建议:对于生产环境,建议在钉钉告警中增加“告警等级”字段,将error级别与warning级别区分开,并针对不同等级设置不同的响应SLA。同时,建议将脚本告警日志也写入单独的文件,便于事后复盘和审计。

注意事项:

脚本里的钉钉Webhook和Secret不要写进公开仓库,也不要在文章截图中暴露真实值。建议将敏感信息存储在环境变量或独立的配置文件中,并通过.gitignore忽略提交。例如:

import os
WEBHOOK = os.getenv('DINGTALK_WEBHOOK')
SECRET = os.getenv('DINGTALK_SECRET')

SSH公网访问同样要谨慎,建议使用强密码或密钥登录,限制root直接登录,并定期检查隧道和服务器登录记录。具体安全加固措施包括:
1. 修改SSH默认端口(如改为2222),减少暴力破解攻击
2. 禁用密码登录,仅允许密钥认证
3. 安装fail2ban,自动封禁多次登录失败的IP
4. 定期查看/var/log/auth.log,检查异常登录尝试
5. 使用cpolar的IP白名单功能(付费版),仅允许您常用的IP访问

未来趋势:

随着云原生和边缘计算的普及,轻量级监控方案正朝着以下几个方向发展:

趋势方向具体表现对本文方案的影响
AIOps智能告警通过机器学习自动识别日志模式,减少误报未来可在脚本中集成简易的异常检测算法
告警聚合与降噪将同类告警合并,避免告警风暴可优化脚本的去重与聚合逻辑
多通道通知同时支持钉钉、飞书、企业微信、Telegram可改造脚本支持多Webhook并行推送
Serverless监控使用云函数周期性检查日志,无需常驻进程可作为本方案的备选或补充

Python脚本负责发现异常,钉钉机器人负责及时通知,cpolar负责留下远程处理入口。当这三部分组合起来以后,一台原本只能被动等待人工巡检的内网服务器,就具备了主动呼救和远程修复的基础能力。这套方案既是对现代运维理念“可观测性”和“自动化”的轻量级践行,也是每一位独立开发者、极客玩家保护自己数字资产的实用工具箱。希望本文能帮助你搭建起属于自己的服务器“哨兵”,从此运维不再焦虑,夜晚睡得安心。

本文由主机测评网发布,不代表主机测评网立场,转载联系作者并注明出处:https:///yunwei/9666.html

联系我们

在线咨询:点击这里给我发消息

Q Q:2220678578