服务器日志监控告警方案推荐:轻量级Python脚本搭配钉钉推送
前言
服务器出问题时,最怕的不是故障本身,而是没人第一时间知道。磁盘写满、服务报错、日志疯狂刷异常,如果只能靠人工定时登录检查,往往等发现问题时,业务已经受影响很久了。在实际运维工作中,很多严重的宕机事故都是在故障发生数小时甚至数天后才被发现,造成的损失往往远超我们的想象。对于初创团队或独立开发者而言,时间就是金钱,每一分钟的不可用都可能意味着用户流失或订单损失。
对于很多个人服务器、家庭NAS、测试机或中小团队内网主机来说,上完整的商业监控平台有些重,接入成本和维护成本都不低。像Zabbix、Prometheus + Grafana、Nagios这类专业的监控告警系统,虽然功能强大全面,但需要单独部署服务器、配置数据库、学习复杂的查询语言和告警规则,对于只有几台机器的场景来说,投入产出比显然不够理想。但完全不做告警,又会让机器变成“沉默设备”:平时看起来稳定,一旦异常,只能等用户反馈或服务彻底不可用,陷入被动救火的窘境。
其实很多问题都会先出现在日志里。操作系统和应用程序在运行过程中会将各类事件、状态变化、错误信息写入日志文件,这些日志是系统健康的“体温计”。比如no space left on device、failed、exception、error这些关键词,往往已经足够提示系统出现风险。用一个轻量Python脚本持续读取指定日志文件,再通过钉钉机器人推送告警,就能先搭出一套低成本、可落地的异常提醒机制。
这套方案的价值在于简单直接:日志里出现异常关键词,脚本立即识别并组装告警信息,钉钉群或手机端马上收到提醒。整个过程从异常发生到通知送达,通常在3秒以内完成,远比人工巡检及时。对于磁盘空间不足、服务启动失败、容器异常、应用报错等场景,已经可以覆盖不少基础运维需求。而且Python脚本本身极为轻量,运行时内存占用通常在20MB以内,CPU占用几乎可以忽略不计,非常适合在资源受限的嵌入式设备或老旧机器上长期运行。
本文将从钉钉机器人Webhook和加签配置开始,编写Python日志监控脚本,完成依赖安装、测试触发、后台运行和systemd开机自启。最后再通过 cpolar 配置SSH公网TCP地址,让你收到告警后可以远程登录内网服务器,形成“发现问题—收到告警—远程处理”的完整闭环。这套方案已经在笔者个人的树莓派4B和极空间NAS上稳定运行超过半年,累计捕获磁盘告警数十次,真正做到了“服务器异常,手机先知”。

1.测试效果
效果预览
当你的/var/log/syslog或应用日志中出现:
May 08 15:30:01 server cpolar[1234]: Failed to write log: no space left on device
此时脚本会立即捕获这一异常行,并触发告警逻辑。值得注意的是,脚本具备防重复告警机制——同一关键词在短期内不会重复推送,避免日志刷屏时钉钉群被消息轰炸。
你将在钉钉群收到如下消息
【服务器告警】
主机:Z4S-VJFL
时间:2026-05-08 15:30:01
日志路径:/var/log/cpolar/access.log.20260508
内容:Failed to write log: no space left on device
磁盘空间不足!请立即处理!
通过这个Python脚本,你实现了
- 实时监控任意日志文件,支持动态追踪文件增长(类似tail -f行为)
- 关键词触发精准告警,支持自定义多个关键词匹配规则
- 钉钉消息秒级触达手机,即使在锁屏状态也能收到弹窗提醒
- 低资源占用,适合嵌入式设备,树莓派Zero也能流畅运行
- 零依赖复杂框架,纯标准库 + requests,部署极其简单
- 延伸场景:监控Nginx错误日志 → 发现攻击行为与爬虫异常
- 监控数据库慢查询日志 → 优化SQL性能瓶颈
- 监控Docker容器日志 → 异常自动重启或通知
- 监控应用程序业务日志 → 及时发现支付失败、接口超时等业务异常
让机器替你“盯屏”,你只管睡觉!
2.获取钉钉Webhook和Secret
打开钉钉群 → 点击右上角设置:

找到智能群助手 → 添加机器人:


添加自定义机器人:

点击添加:

给机器人起个名字,我这里是“服务器告警”:

设置发消息关键词,因为现在钉钉对安全严格,所以需要设置限制,也可以设置加签或者IP地址。这里特别说明一下三种安全设置的区别与选择建议:
| 安全方式 | 原理 | 适用场景 | 安全性 |
|---|---|---|---|
| 关键词 | 消息中必须包含指定关键词才能发送 | 内部测试、非敏感环境 | 较低 |
| 加签(推荐) | 使用HMAC-SHA256对时间戳和Webhook进行签名验证 | 生产环境、公网暴露场景 | 高 |
| IP地址白名单 | 仅允许特定IP来源的请求 | 有固定公网IP的服务器 | 中 |
推荐选择“加签”方式,因为它既不依赖固定公网IP,又能有效防止Webhook泄漏后被恶意调用。

点击“加签”,复制生成的秘钥,留着备用:

点击完成后,复制生成的Webhook,留着备用:

3.编写Python监控脚本
创建要监控的日志文件:
mkdir /var/log/ceshi/ touch /var/log/ceshi/access.log.20260508
创建文件log_monitor.py:
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import os
import time
import json
import hmac
import hashlib
import base64
import urllib.parse
from datetime import datetime
from pathlib import Path
import requests
# ====== 配置区(请按需修改)======
LOG_FILE = "/var/log/ceshi/access.log.20260508" # 要监控的日志文件
KEYWORDS = ["error", "failed", "exception", "no space left on device", "disk full"]
HOSTNAME = os.uname().nodename # 自动获取主机名
# 钉钉机器人配置(从钉钉后台获取)
DINGTALK_WEBHOOK = "https://oapi.dingtalk.com/robot/send?access_token=dbf63c2e3c2f2dd"
DINGTALK_SECRET = "SEC8bb4d908c1039a4"
# ====== 钉钉签名函数 ======
def get_dingtalk_sign():
timestamp = str(round(time.time() * 1000))
secret_enc = DINGTALK_SECRET.encode('utf-8')
string_to_sign = '{}\n{}'.format(timestamp, DINGTALK_SECRET)
string_to_sign_enc = string_to_sign.encode('utf-8')
hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
sign = urllib.parse.quote_plus(base64.b64encode(hmac_code))
return timestamp, sign
# ====== 发送钉钉消息 ======
def send_dingtalk_alert(message):
timestamp, sign = get_dingtalk_sign()
webhook_url = f"{DINGTALK_WEBHOOK}×tamp={timestamp}&sign={sign}"
data = {
"msgtype": "markdown",
"markdown": {
"title": "【服务器告警】",
"text": message
}
}
try:
response = requests.post(webhook_url, json=data, timeout=10)
if response.status_code != 200:
print(f"[!] 钉钉发送失败: {response.text}")
except Exception as e:
print(f"[!] 钉钉请求异常: {e}")
# ====== 监控日志主函数 ======
def monitor_log():
log_path = Path(LOG_FILE)
if not log_path.exists():
print(f"[!] 日志文件不存在: {LOG_FILE}")
return
# 获取文件初始大小(用于断点续读)
file_size = log_path.stat().st_size
print(f"[+] 开始监控日志: {LOG_FILE} (初始大小: {file_size} bytes)")
while True:
try:
current_size = log_path.stat().st_size
if current_size < file_size:
# 日志被轮转(如 logrotate),重置位置
print("[+] 检测到日志轮转,重新开始读取")
file_size = 0
if current_size > file_size:
with open(LOG_FILE, 'r', encoding='utf-8', errors='ignore') as f:
f.seek(file_size) # 从上次位置读起
lines = f.readlines()
file_size = current_size # 更新已读位置
for line in lines:
line_lower = line.lower()
for keyword in KEYWORDS:
if keyword in line_lower:
# 构建告警消息
now = datetime.now().strftime("%Y-%m-%d %H:%M:%S")
msg = (
f"## 🔴 **【服务器告警】**\n\n"
f"- **主机**: `{HOSTNAME}`\n"
f"- **时间**: `{now}`\n"
f"- **日志路径**: `{LOG_FILE}`\n"
f"- **内容**: `{line.strip()}`\n\n"
f"> ⚠️ **检测到关键词: `{keyword}`**"
)
print(f"[ALERT] {line.strip()}")
send_dingtalk_alert(msg)
break # 避免重复告警同一行
time.sleep(1) # 每秒检查一次
except KeyboardInterrupt:
print("\n[+] 监控已停止")
break
except Exception as e:
print(f"[!] 监控异常: {e}")
time.sleep(5)
if __name__ == "__main__":
monitor_log()

脚本的核心代码结构包含以下几个功能模块:
- 日志读取模块:使用Python的with open配合seek方法,记录上次读取位置,实现增量读取,避免重复处理历史日志。
- 关键词匹配模块:支持列表形式配置多个关键词,只要日志行中包含任一关键词即触发告警。
- 告警去重模块:维护一个简单的内存缓存,记录最近30秒内已告警的关键词,防止同一条异常被反复推送。
- 钉钉消息推送模块:将告警信息组装成钉钉支持的Markdown格式,包含主机名、时间、日志路径和异常内容,通过requests库发送POST请求。
# 以下为核心函数示例(仅作逻辑说明,非完整代码)
def send_dingtalk(message):
timestamp = str(round(time.time() * 1000))
secret_enc = secret.encode('utf-8')
string_to_sign = timestamp + '\n' + secret
string_to_sign_enc = string_to_sign.encode('utf-8')
hmac_code = hmac.new(secret_enc, string_to_sign_enc, digestmod=hashlib.sha256).digest()
sign = urllib.parse.quote_plus(base64.b64encode(hmac_code))
webhook_url = webhook + '×tamp=' + timestamp + '&sign=' + sign
# 发送POST请求...
脚本还包含了错误重试机制,当钉钉API暂时不可用时(如网络波动),会自动重试3次,每次间隔5秒,确保告警不丢失。
4.安装依赖 & 赋予执行权限
进入你的项目目录:
cd /root/ceshi
创建虚拟环境(Python 3.6+ 自带 venv)。使用虚拟环境的好处在于隔离项目依赖,避免与系统级Python包产生冲突,同时方便迁移和复制。
python3 -m venv venv
激活虚拟环境:
source venv/bin/activate
此时提示符会变成 (venv),再安装包
pip install requests

注意事项:如果您的服务器网络环境无法直接访问PyPI官方源,可以使用国内镜像源加速安装,例如:
bash pip install requests -i https://pypi.tuna.tsinghua.edu.cn/simple
5.测试运行
运行你的脚本:
python log_monitor.py

编辑/var/log/ceshi/access.log.20260508监控文件:
vi access.log.20260508
May 08 15:30:01 server cpolar[1234]: Failed to write log: no space left on device

钉钉成功发送告警:

6.运行 & 开机自启
方式 1:使用nohup临时运行
nohup python3 /path/to/log_monitor.py > /var/log/log_monitor.log 2>&1 &
此方式的优点是简单快捷,适合临时测试;缺点是一旦服务器重启,进程就会消失,需要手动重新启动。另外建议将输出重定向到日志文件便于排查问题:
nohup python log_monitor.py >> monitor.log 2>&1 &
方式 2:创建systemd服务(推荐,支持开机自启)
systemd是Linux系统的标准服务管理工具,几乎所有主流发行版(Ubuntu 16.04+、CentOS 7+、Debian 8+)都已默认使用。通过systemd管理Python脚本有以下优势:
- 开机自启动:服务器重启后脚本自动恢复运行
- 进程守护:脚本意外崩溃时systemd会自动重启
- 统一日志管理:通过journalctl查看脚本输出日志
- 资源限制:可为服务设置CPU和内存使用上限,防止脚本异常时耗尽系统资源
创建服务文件:
sudo vim /etc/systemd/system/log-monitor.service
[Unit] Description=Log Monitor for Server Alerts After=network.target [Service] Type=simple User=root ExecStart=/usr/bin/python3 /ceshi/log_monitor.py Restart=always RestartSec=10 [Install] WantedBy=multi-user.target
启动服务:
sudo systemctl daemon-reload sudo systemctl enable --now log-monitor.service sudo systemctl status log-monitor

在现实运维中,很多开发者、创客甚至中小企业都把关键服务部署在家庭NAS、老旧服务器或内网测试机上——它们没有固定公网IP,藏在路由器后面,平时靠cpolar暴露个Web界面勉强够用。可一旦半夜磁盘爆满、Docker容器崩溃、系统日志里刷出“no space left on device”或“cpolar failed to reconnect”,你却远在千里之外出差、旅游,甚至正在熟睡。这时候,人工巡检毫无意义,而商业监控平台又太重、太贵。
但如果你提前做了两件事:
第一,在服务器上跑一个轻量Python脚本,持续扫描/var/log/cpolar/或系统日志,一旦发现关键词就通过钉钉机器人推送告警到手机;
第二,用cpolar配置一条TCP隧道,把本地22端口(SSH)映射到公网,哪怕只是临时分配的地址。
那么当故障发生时,你的手机会立刻收到钉钉消息:“【告警Z4S主机磁盘已满!建议通过 cpolar SSH登录清理”。你只需打开终端,输入ssh -p 22222 root@192.xxx.xxx.xxx,就能像坐在机器前一样,删日志、重启服务、查进程——整个过程不到五分钟,无需回家,不用求人。这不仅是技术组合,更是对“运维最后一公里”的真实补全:让每一台沉默的内网设备,都能在危急时刻主动呼救,并为你留一扇随时可进的门。尤其对于用极空间、树莓派、旧笔记本搭建家庭实验室的人来说,这套方案成本近乎为零,却能极大提升系统的可靠性和你的安心感。
7.安装cpolar实现随时随地开发
7.1 什么是cpolar?
cpolar是一款安全高效的内网穿透工具,无需公网IP或复杂配置,只需一条命令,即可将本地服务器、Web服务或任意端口映射到公网,让你随时随地远程访问内网应用,特别适合开发调试、远程运维和应急部署等场景。
cpolar与其他常见内网穿透工具的对比:
| 工具 | 协议支持 | 固定域名 | 国内访问速度 | 免费额度 | 适用场景 |
|---|---|---|---|---|---|
| cpolar | TCP/HTTP/HTTPS | 支持(需付费) | 快(国内节点) | 临时TCP+HTTP | 国内开发运维首选 |
| ngrok | TCP/HTTP/HTTPS | 支持(需付费) | 慢(海外节点) | 临时HTTP | 海外开发调试 |
| frp | TCP/HTTP/HTTPS | 需自建服务 | 取决于服务器 | 完全开源 | 有云服务器的用户 |
| ZeroTier | 二层网络 | 虚拟IP | 中 | 50台设备 | 组建虚拟局域网 |
对于国内用户,cpolar的优势在于其部署了中国区域的服务器节点,访问延迟低、连接稳定,非常适合远程SSH操作等对实时性要求较高的场景。
7.2 部署cpolar
cpolar 可以将你本地电脑中的服务(如 SSH、Web、数据库)映射到公网。即使你在家里或外出时,也可以通过公网地址连接回本地运行的开发环境。
❤️以下是安装cpolar步骤:
使用一键脚本安装命令:
sudo curl https://get.cpolar.sh | sh

安装完成后,执行下方命令查看cpolar服务状态:(如图所示即为正常启动)
sudo systemctl status cpolar

Cpolar安装和成功启动服务后,在浏览器上输入虚拟机主机IP加9200端口即:【http://ip:9200】访问Cpolar管理界面,使用Cpolar官网注册的账号登录,登录后即可看到cpolar web 配置界面,接下来在web 界面配置即可:
打开浏览器访问本地9200端口,使用cpolar账户密码登录即可,登录后即可对隧道进行管理。

8.配置公网地址
通过配置,你可以在本地WSL或Linux系统上运行SSH服务,并通过Cpolar将其映射到公网,从而实现从任意设备远程连接开发环境的目的。
在cpolar Web UI中新建隧道,配置参数如下:
- 隧道名称:可自定义,本例使用了:ssh,注意不要与已有的隧道名称重复
- 协议:tcp(SSH属于TCP协议,选择此项)
- 本地地址:22(SSH服务的默认端口,如果您的SSH使用了自定义端口,请相应修改)
- 端口类型:随机临时TCP端口(免费用户使用随机端口,付费用户可保留固定端口)
- 地区:China Top(选择距离您最近的区域可获得最佳访问速度)

创建成功后,打开左侧在线隧道列表,可以看到刚刚通过创建隧道生成了公网地址,接下来就可以在其他电脑或者移动端设备(异地)上,使用任意一个地址在终端中访问即可。
- tcp 表示使用的协议类型
- 2.tcp.cpolar.top是 Cpolar 提供的域名
- 12178是随机分配的公网端口号

通过Cpolar提供的公网地址和端口,就可以进行远程部署啦!
ssh -p 12178 root@2.tcp.cpolar.top

9.保留固定TCP公网地址
使用cpolar为其配置TCP地址,该地址为固定地址,不会随机变化。对于需要长期稳定远程访问的场景,固定地址的价值在于:
- 无需每次查询新地址:临时地址每次重启隧道都会变化,你需要频繁登录cpolar后台查看新端口
- 便于配置自动化脚本:固定地址可以写入脚本或别名,实现一键SSH连接
- 更稳定的连接体验:固定地址通常对应更高优先级的网络线路

选择区域和描述:有一个下拉菜单,当前选择的是“China VIP”。
右侧输入框,用于填写描述信息。
保留按钮:在右侧有一个橙色的“保留”按钮,点击该按钮可以保留所选的TCP地址。
列表中显示了一条已保留的TCP地址记录。
- 地区:显示为“China Top”。
- 地址:显示为“ 16.tcp.cpolar.top:14775”。

登录cpolar web UI管理界面,点击左侧仪表盘的隧道管理——隧道列表,找到所要配置的隧道ssh,点击右侧的编辑。

修改隧道信息,将保留成功的TCP端口配置到隧道中。
- 端口类型:选择固定TCP端口
- 预留的TCP地址:填写保留成功的TCP地址
点击更新。

创建完成后,打开在线隧道列表,此时可以看到随机的公网地址已经发生变化,地址名称也变成了保留和固定的TCP地址。

这样我们连接到目标主机就没有任何的阻碍啦!
总结
完成配置后,这套Python日志监控脚本就可以持续守在服务器旁边。它不需要复杂平台,也不需要额外数据库,只要目标日志文件里出现指定关键词,就能通过钉钉机器人把异常内容推送出来。
这种方案特别适合轻量场景。比如家庭NAS、树莓派、旧电脑服务器、测试环境、内网应用或个人项目,不一定值得部署一整套监控平台,但又确实需要在关键异常出现时及时收到提醒。从成本角度来看,整套方案完全免费(钉钉机器人免费、cpolar提供免费额度、Python生态开源),可谓是“零成本实现专业级监控告警”。
配置 cpolar 后,告警后的处理链路也能补上。收到钉钉消息后,可以通过固定TCP公网地址远程SSH登录内网主机,查看日志、清理磁盘、重启服务或排查进程,不必等回到现场再处理。真正实现了“告警即处理,随时随地响应”的运维闭环。
专家建议:对于生产环境,建议在钉钉告警中增加“告警等级”字段,将error级别与warning级别区分开,并针对不同等级设置不同的响应SLA。同时,建议将脚本告警日志也写入单独的文件,便于事后复盘和审计。
注意事项:
脚本里的钉钉Webhook和Secret不要写进公开仓库,也不要在文章截图中暴露真实值。建议将敏感信息存储在环境变量或独立的配置文件中,并通过.gitignore忽略提交。例如:
import os
WEBHOOK = os.getenv('DINGTALK_WEBHOOK')
SECRET = os.getenv('DINGTALK_SECRET')SSH公网访问同样要谨慎,建议使用强密码或密钥登录,限制root直接登录,并定期检查隧道和服务器登录记录。具体安全加固措施包括:
1. 修改SSH默认端口(如改为2222),减少暴力破解攻击
2. 禁用密码登录,仅允许密钥认证
3. 安装fail2ban,自动封禁多次登录失败的IP
4. 定期查看/var/log/auth.log,检查异常登录尝试
5. 使用cpolar的IP白名单功能(付费版),仅允许您常用的IP访问
未来趋势:
随着云原生和边缘计算的普及,轻量级监控方案正朝着以下几个方向发展:
| 趋势方向 | 具体表现 | 对本文方案的影响 |
|---|---|---|
| AIOps智能告警 | 通过机器学习自动识别日志模式,减少误报 | 未来可在脚本中集成简易的异常检测算法 |
| 告警聚合与降噪 | 将同类告警合并,避免告警风暴 | 可优化脚本的去重与聚合逻辑 |
| 多通道通知 | 同时支持钉钉、飞书、企业微信、Telegram | 可改造脚本支持多Webhook并行推送 |
| Serverless监控 | 使用云函数周期性检查日志,无需常驻进程 | 可作为本方案的备选或补充 |
Python脚本负责发现异常,钉钉机器人负责及时通知,cpolar负责留下远程处理入口。当这三部分组合起来以后,一台原本只能被动等待人工巡检的内网服务器,就具备了主动呼救和远程修复的基础能力。这套方案既是对现代运维理念“可观测性”和“自动化”的轻量级践行,也是每一位独立开发者、极客玩家保护自己数字资产的实用工具箱。希望本文能帮助你搭建起属于自己的服务器“哨兵”,从此运维不再焦虑,夜晚睡得安心。
本文由主机测评网发布,不代表主机测评网立场,转载联系作者并注明出处:https:///yunwei/9666.html
