Existe uma maneira de manipular as linhas nas regras de verificação de log antes de enviar?

2

Existem alguns casos, como os registros do netfilter, em que seria ótimo se eu pudesse enviar o relatório logcheck está prestes a enviar por meio de um filtro.

logcheck(8) não parece descrever nada disso, nem a página man de logcheck.conf .

    
por 0xC0000022L 30.05.2014 / 04:11

1 resposta

2

Não diretamente com logcheck . A única coisa que você tem à sua disposição é filtrar as linhas dos arquivos de log. Há uma coleção decente de exemplos de filtros aqui neste artigo intitulado: logcheck - vários filtros .

No entanto, dado que logcheck é meramente um shell script, você pode modificá-lo e criar sua própria versão. Você também pode modificar o cronjob que normalmente vem com o pacote logcheck e executá-lo via STDOUT, filtrar o conteúdo e depois enviá-lo por e-mail manualmente.

( $ /usr/sbin/logcheck -o | ...your filter... ) | mail ...

Filtros personalizados

Para configurar filtros, você pode colocar os arquivos de regras na árvore de diretórios logcheck no diretório apropriado para filtrar as mensagens que não são relevantes.

$ ls -ld /etc/logcheck/*
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/cracking.d
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/ignore.d.paranoid
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/ignore.d.server
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/ignore.d.workstation
-rw-r--r--. 1 root root 2647 Feb 16  2013 /etc/logcheck/logcheck.conf
-rw-r--r--. 1 root root  133 Feb 16  2013 /etc/logcheck/logcheck.logfiles
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/violations.d
drwxr-xr-x. 2 root root 4096 May 30 16:36 /etc/logcheck/violations.ignore.d

Por exemplo, ele já vem com arquivos de filtro para muitos dos serviços populares:

$ ls /etc/logcheck/ignore.d.server/ | head -10
acpid
amandad
amavisd-new
anacron
anon-proxy
apache
apcupsd
arpwatch
asterisk
automount

Então você pode incorporar regras para filtrar as coisas.

$ more /etc/logcheck/ignore.d.server/apache 
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ apache: nss_ldap: reconnect(ing|ed) to LDAP server(\.\.\.| after [0-9]+ attempt\(s\))$
    
por 30.05.2014 / 22:55