[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] Pb de config de règle logcheck (regexp)

Jacques L'helgoualc'h a écrit :
> giggz a écrit, dimanche 6 avril 2008, à 14:57 :
>> giggz a écrit :
>>> Bonjour,
> 
> bonjour.
> 
>>> Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je
>>> sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.
>>>
>>> Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
>>> je définisse des nouvelles règles. Et con que je me mette à apprendre
>>> les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
>>> je lis http://www.expreg.com)
> 
> Pourquoi  pas, si  tu veux  l'utiliser  en PHP...   (toutefois, dans  la
> présentation il  est dit  qu' « on peut  tout faire avec  une expression
> régulière » :  non ! (une regex  correspond à un automate  *fini* (on ne
> peut  pas faire de  l'arithmétique avec  (comme compter  des parenthèses
> (imbriquées (à un niveau quelconque)))))).
> 
> D'après man 7 regex,
> ,----
> | BOGUES
> |        Avoir deux sortes d'ER est un calvaire.
> | 
> `----
> 
> La malédiction de Babel a frappé nettement plus de deux fois :/
> 
> D'après les  dépendances du paquet logcheck (grep),  il semblerait qu'il
> utilise grep --- vérifie la doc,  tu pourras sans doute faire tes essais
> avec grep -E regex tes_logs.
> 

Merci pour ça! exactement ce que je cherchais!

> 
>>> Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :
>>>
>>> Apr  6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
>>> SRC=192.168.0.2 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0
>>> DF PROTO=UDP SPT=137 DPT=137 LEN=58
>>> Apr  6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
>>> SRC=192.168.0.2 DST=192.168.0.255 LEN=245 TOS=0x00 PREC=0x00 TTL=64 ID=0
>>> DF PROTO=UDP SPT=138 DPT=138 LEN=225
>>>
>>> J'ai mis cette règle ci :
>>> ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
>>> OUT= MAC= SRC=192.168.0.2 DST=192.168.0.255 LEN=[0-9]+ TOS=0x00
>>> PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$
>>>
>> Bon enf ait ça l'air d'être bon...ça ne marchait pas car le fichier
>> n'avait pas les bons droits...
>> Si vous trouvez une façon plus élégante de réécrire l'expression
>> ci-dessus, n'hésitez pas à m'expliquer...
> 
> Tu ne précises pas ce que tu veux filtrer au juste ?
> 

juste les lignes citées précédemment. Ce sont des lignes qui reviennent
fréquemment ds mes logs et dont je me fiche éperdument...
Apparemment la regexp ci-dessus fait l'affaire. c'est déjà ça! :)

> 
>>> Voyez vous une faute (ou plus :) ) ? je sèche...
> 
>  - ton expression est sans doute trop précise :
> 
>    au début, "^.* kernel: FW:" devrait suffire, par exemple ;
> 
>  - d'autres constructions TRUC=...  pourraient être plus génériques, etc.
>    Il faudrait davantage d'exemples pour voir tout ce qui peut varier.
> 
> Par exemple, pour le bruit de fond des « ports maudits »,
> 
> ^.* kernel: FW:.* SPT=(13[5789]|445) ...(avec ou sans DPT idem)
> 
> et essaie de voir avec grep si tu as des faux positifs, ou des trucs qui
> t'intéressent pour déboguer samba.
> 

ok. je vais faire ça.
Merci pour tes conseils!
Guillaume

>>> Merci d'avance
> 
> de rien,
Reply to: