Temos um arquivo personalizado para logcheck ignore patterns. Hoje eu decidi adicionar outro, mas não está funcionando tão bem quanto estou acostumado.
O que eu normalmente faço é criar uma expressão regular que coincida com a (s) linha (s) que eu preciso ignorar usando egrep, e então coloque o regex no arquivo /etc/logcheck/ignore.d.server/local. Desta vez não está funcionando e estou perplexo com o porquê.
Estes são os tipos de entradas que eu quero excluir:
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session opened for user logcheck by graeme(uid=0)
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session closed for user logcheck
Este é o meu padrão de regex:
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sudo: pam_unix\(sudo:session\): session (opened|closed) for user [a-z0-9.-]+( by [a-z0-9.-]+\(uid=[0-9]+\))?$
Nada muito agitado, e usar esse padrão com o egrep no arquivo /var/log/auth.log mostra todas as linhas que desejo ignorar. Alguém tem alguma indicação de porque o logcheck não está ignorando as linhas?
De acordo com o bug # 243693 do launchpad, todo evento sudo é tratado na camada de violações .
Além de incluir sua regex em /etc/logcheck/ignore.d.server/local , você também pode precisar incluí-la em /etc/logcheck/violations.ignore.d/logcheck-sudo
Tags regex