Re: logcheck violations ignore
Andreas Tille <tillea@rki.de> writes:
> On 21 Jan 2003, Axel Duerrbaum wrote:
>
> > Genau das gleiche Problem habe ich auch: ich werde täglich mit diesen
> > "cron: session openend¦closed for user ..." überflutet, aber logcheck
> > weigert sich, diese in logcheck.ignore zu ignorieren.
> Wobei mir dieses Problem nicht als identisch erscheint.
>
> 1. Scheinst Du noch nicht auf den neuen Mechanismus umgestiergen
> zu sein, wenn Du von der Datei logcheck.ignore schreibst.
Sorry, habe ich vergessen zu erwähnen.
Auch wenn ich die Einträge in ignore.d/pam_UNIX mache, werden sie
ignoriert.
> 2. Handelt es sich bei mir nicht um "ignore" sondern um
> "violations.ignore", das heißt z.B. für manche Meldungen
> von PostgreSQL, die identisch in ignore.d.server und
> violations.ignore.de aufgefürt sind, werden ordentlich
> für "ignore" gefiltert, aber gehen als "violation" durch.
Sorry, das habe ich überlesen. Scheinbar sind morgens meine Fingfer
schneller als mein Hirn.
> > /usr/sbin/logcheck ist ein Shell-Skript, das Du Dir mal durchlesen
> > könntest. Vielleicht findest Du da die Lösung Deines Problems.
>
> ~> grep -i "violation.*ignore" /usr/sbin/logcheck
> Viel bringt das wohl nicht ...
Vielleicht wäre dann "less /usr/sbin/logcheck" angebrachter.
Das Skript scheint recht einfach aufgebaut zu sein.
Wobei mir folgendes aufgefallen ist:
Zuerst schaltet das Skript in den Filterbefehlen case-sensitive aus
(Option "-i"), beim zweiten Filtern allerdings nicht (nur "-v"),
z.B.:
$GREP -i -f $VIOLATIONS_FILE_CLEANED $TMPDIR/check.$$
\ | $GREP -v -f $VIOLATIONS_IGNORE_FILE_CLEANED > $TMPDIR/checkoutput.$$
Das bedeutet doch, das die zu unterdrückenden Schlüsselwörter
case-sensitive sind.
Ist bei Dir die Schreibweise in beiden Dateien gleich und entsprechend
der Log-Meldung?
MfG,
AxelD
--
Axel Dürrbaum / Universität Kassel / FB 15 - RTS Regelungstechnik
Mönchebergstraße 7 / 34109 Kassel / Germany / Technik I/II / Raum 2602
phone:+49 561 804 3261 eMail:axeld@uni-kassel.de
Reply to: