logcheck und regexpr

To: debian user de <debian-user-german@lists.debian.org>
Subject: logcheck und regexpr
From: Ulrich Wiederhold <U.Wiederhold@gmx.net>
Date: Mon, 9 Sep 2002 21:19:52 +0200
Message-id: <[🔎] 20020909191952.GZ10679@sky.net>

Hallo,
ich verwende logcheck, um meine logfiles zu überprüfen.
Wenn ich das richtig verstehe, werden die Einträge in den Dateien im
Verzeichnis /etc/logcheck/ignore.d.workstation wie Regular Expressions
behandelt. Dann müßte es doch eigentlich möglich sein, einen Eintrag
durch einen anderen zu ersetzen, zumindestens in der verschickten Email.

Ich bekomme folgende Einträge:
Sep  9 19:20:56 home portsentry[10048]: attackalert: Connect from host:
+204.152.186.58/204.152.186.58 to TCP port: 1080  
Sep  9 19:20:56 home portsentry[10048]: attackalert: Ignoring TCP
response per configuration file setting.
Sep  9 19:21:00 home portsentry[10048]: attackalert: Connect from host:
+204.152.186.58/204.152.186.58 to TCP port: 1080
Sep  9 19:21:00 home portsentry[10048]: attackalert: Host:
204.152.186.58 is already blocked. Ignoring


Ich möchte aus diesen mit Port, Protolkoll und Port identischen
Einträgen (und den folgenden identischen) einen einzigen generieren, der
dann stattdessen gemailt wird, der Art:

Sep  9 19:20:56 home portsentry[10048]: attackalert: Connect from host:
+204.152.186.58/204.152.186.58 to TCP port: 1080 -> ignored

Funktioniert das so, wie ich es mir vorstelle?
Wie? Ich habe zwar schon mal was mit regexpr gemacht (in Perl), aber das
übersteigt meine Möglichkeiten.

Gruß
Uli

-- 
'The box said, 'Requires Windows 95 or better', so i installed Linux - TKK 5

Reply to:

Prev by Date: lilo konfusion
Next by Date: Re: Firewallfrage?
Previous by thread: Re: lilo konfusion
Next by thread: mutt Absender ändern
Index(es):
- Date
- Thread