Re: logcheck nervt
On 2004.05.12 09:50, Ramin Motakef wrote:
Andreas Schmidt <andy@space.wh1.tu-dresden.de> writes:
> Hallo,
>
> habe vor einiger Zeit logcheck upgedatet (jetzt 1.2.19-2) und
seitdem
> nervt das dauernd mit solchen Eintraegen:
> May 11 15:06:42 rocket -- MARK --
>
Falls du unstable benutzt: Logcheck läuft nicht mehr als root und bei
mir stimmten dann einige Berechtigungen bei den ignore Dateien nicht
mehr.
Prüf mal ob alle Dateien vom User logcheck bzw. seinen Gruppen lesbar
sind.
Hmmm, nach dem update gab es tatsaechlich Probleme, weshalb ich manuell
fuer die Files in /etc/logcheck/ als group logcheck eingestellt hatte.
(siehe http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=247279) Es gab
dann noch einen anderen Bug, wo die Logs in /var/log nicht gelesen
werden konnten, weil die root:adm gehoeren (
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=248046). Der Bug ist
aber auch schon gefixt:
root@rocket:/etc/logcheck# groups logcheck
logcheck : logcheck adm
Ausserdem habe ich ja nicht zu wenig Output habe, sondern logcheck
filtert nicht genug weg. Es muesste eigentlich mit den RegEx zu tun
haben, aber ich kann da nichts finden.
root@rocket:/etc/logcheck# egrep "^[[:alnum:]]" logcheck.conf
REPORTLEVEL="server"
SENDMAILTO="root"
FQDN=1
ATTACKSUBJECT="Attack Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
root@rocket:/etc/logcheck# grep MARK ignore.d.server/*
ignore.d.server/logcheck:^\w{3} [ :0-9]{11} [._[:alnum:]-]+ -- MARK --.
*$
ignore.d.server/logcheck:^\w{3} [ :0-9]{11} [._[:alnum:]-]+ [ -]+MARK
[ -]+$
ignore.d.server/logcheck:^\w{3} [ :0-9]{10} [._[:alnum:]-]+ [ -]+MARK
[ -]+$
ignore.d.server/logcheck:^\w{3} [ :0-9]+ [._[:alnum:]-]+ -- MARK --.*$
ignore.d.server/logcheck:^\w{3} [ :0-9]+ [._[:alnum:]-]+ -- MARK --
ignore.d.server/logcheck: -- MARK --
ignore.d.server/logcheck.dpkg-old:-- MARK --
Schoenen Gruss,
Andreas
Reply to: