Não diretamente com logcheck
. A única coisa que você tem à sua disposição é filtrar as linhas dos arquivos de log. Há uma coleção decente de exemplos de filtros aqui neste artigo intitulado: logcheck - vários filtros .
No entanto, dado que logcheck
é meramente um shell script, você pode modificá-lo e criar sua própria versão. Você também pode modificar o cronjob que normalmente vem com o pacote logcheck
e executá-lo via STDOUT, filtrar o conteúdo e depois enviá-lo por e-mail manualmente.
( $ /usr/sbin/logcheck -o | ...your filter... ) | mail ...
Filtros personalizados
Para configurar filtros, você pode colocar os arquivos de regras na árvore de diretórios logcheck
no diretório apropriado para filtrar as mensagens que não são relevantes.
$ ls -ld /etc/logcheck/*
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/cracking.d
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/ignore.d.paranoid
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/ignore.d.server
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/ignore.d.workstation
-rw-r--r--. 1 root root 2647 Feb 16 2013 /etc/logcheck/logcheck.conf
-rw-r--r--. 1 root root 133 Feb 16 2013 /etc/logcheck/logcheck.logfiles
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/violations.d
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/violations.ignore.d
Por exemplo, ele já vem com arquivos de filtro para muitos dos serviços populares:
$ ls /etc/logcheck/ignore.d.server/ | head -10
acpid
amandad
amavisd-new
anacron
anon-proxy
apache
apcupsd
arpwatch
asterisk
automount
Então você pode incorporar regras para filtrar as coisas.
$ more /etc/logcheck/ignore.d.server/apache
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ apache: nss_ldap: reconnect(ing|ed) to LDAP server(\.\.\.| after [0-9]+ attempt\(s\))$