logcheck und regexpr
Hallo,
ich verwende logcheck, um meine logfiles zu überprüfen.
Wenn ich das richtig verstehe, werden die Einträge in den Dateien im
Verzeichnis /etc/logcheck/ignore.d.workstation wie Regular Expressions
behandelt. Dann müßte es doch eigentlich möglich sein, einen Eintrag
durch einen anderen zu ersetzen, zumindestens in der verschickten Email.
Ich bekomme folgende Einträge:
Sep 9 19:20:56 home portsentry[10048]: attackalert: Connect from host:
+204.152.186.58/204.152.186.58 to TCP port: 1080
Sep 9 19:20:56 home portsentry[10048]: attackalert: Ignoring TCP
response per configuration file setting.
Sep 9 19:21:00 home portsentry[10048]: attackalert: Connect from host:
+204.152.186.58/204.152.186.58 to TCP port: 1080
Sep 9 19:21:00 home portsentry[10048]: attackalert: Host:
204.152.186.58 is already blocked. Ignoring
Ich möchte aus diesen mit Port, Protolkoll und Port identischen
Einträgen (und den folgenden identischen) einen einzigen generieren, der
dann stattdessen gemailt wird, der Art:
Sep 9 19:20:56 home portsentry[10048]: attackalert: Connect from host:
+204.152.186.58/204.152.186.58 to TCP port: 1080 -> ignored
Funktioniert das so, wie ich es mir vorstelle?
Wie? Ich habe zwar schon mal was mit regexpr gemacht (in Perl), aber das
übersteigt meine Möglichkeiten.
Gruß
Uli
--
'The box said, 'Requires Windows 95 or better', so i installed Linux - TKK 5
Reply to: