systemd logcheck regra não funciona

Navegue suas respostas
1

é esta regra de verificação de log: 

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ systemd-logind\[[[:digit:]]+\]: New session [[:digit:]]+ of user [^[:space:]]+\.$

e esta entrada de registro: 

Mar 19 09:16:09 horst kernel: [3257039.867032] <38>systemd-logind[193047]: New session 24987 of user icinga.

Estas não parecem corresponder, infelizmente não consigo encontrar uma regra de correspondência (sic) para os < 38 > coisa. E sim, isso parece ser um número estático.

    
por vautee 19.03.2015 / 10:12

1 resposta

0

Onde o < 38 > vem de

em RFC 3164 , o cabeçalho 4.1.1 Parte PRI descreve a função de < 38 > É a facilidade e gravidade da mensagem combinada em um único número: 

facility * 8 + severity = 38
facility = 4 = "AUTH"
severity = 6 = "INFO"

Este número é normalmente removido pelo daemon syslog antes de ser gravado em um arquivo.

Como corrigir a expressão regular

A melhor maneira de encontrar o problema neste caso é comparar a expressão regular com a parte da linha por peça. Você não correspondeu à parte kernel: [123.456] : 

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[[[:digit:] .-]+\] <38>systemd-logind\[[[:digit:]]+\]: New session [[:digit:]]+ of user [^[:space:]]+\.$
    
por 01.10.2015 / 08:36

Tags

Promova o Windows Server 2012 para o controlador de domínio em uma rede samba existente remoteapp não iniciado a partir do arquivo rdp no Windows 2008 R2