Re: logcheck: nerven lassen, Regeln schreiben oder temporär abschalten ?

To: debian-user-german@lists.debian.org
Subject: Re: logcheck: nerven lassen, Regeln schreiben oder temporär abschalten ?
From: Peter Jordan <usernetwork@gmx.info>
Date: Sat, 08 Aug 2009 12:31:01 +0200
Message-id: <h5jk55$ie3$1@ger.gmane.org>
In-reply-to: <4A7D42E7.3010102@rupat.de>
References: <4A7D42E7.3010102@rupat.de>

Robert Bude, Sat Aug 08 2009 11:18:31 GMT+0200 (CEST) :
> Hi Debianer !
> 
> Eigentlich ist das ein Problem, welches mich schon sehr sehr lange
> nervt. Bei allen Systemen die ich so betreibe lasse ich unter anderem
> auch logcheck laufen. Hilfreich, da ich doch einige Fehler mitbekomme,
> die mir sonst nicht auffallen würden.
> Leider gibt es auch negative Punkte. Zum Beispiel betreue ich ein paar
> Systeme, welche per DSL Einwahl am Netz angebunden sind. Nachts wird ein
> DSL Restart ausgeführt, welcher mir natürlich Einträge im syslog bringt,
> welche nicht von den logcheck ignore rules abgedeckt werden.
> 
> Nun hab ich mir überlegt das es da verschiedene Varianten der Handhabung
> gibt:
> 
> 1. alles so lassen
>    + keine Arbeit
>    - eine nervige logcheck mail pro Tag
>    - die Gefahr irgendwann den Überblick zu verlieren und auch mal eine
> wichtige logcheck mail zu ignorieren
> 2. logcheck ignore regeln für die betreffenden Einträge schreiben
>    + keine mails mehr
>    - macht massiv Arbeit (gibt es ein Tool mit dem man halberwegs bequem
> regex irgendwie halbautomatisch generieren kann ?)
>    - ein DSL restart würde mir auch zu ungeplanten Zeiten nicht mehr
> auffallen, da dieser dann immer ignoriert werden würde.
> 3. logcheck kurz vorm dsl restart ausführen + danach nochmal ohne eine
> mail versenden zu lassen
>    + logcheck würde dann den mailversand für die spanne des dsl restarts
> überspringen
>    + keine mails mehr
> 
> Was haltet ihr von der 3. Variante
> Kennt ihr ein Tool mit dem ich womöglich unter Windows Systemen mir
> logcheck regeln halberwegs bequem generieren könnte ? Im Prinzip ist das
> doch immer das gleiche. Irgendwie vorne das Standardgeplänkel (datum
> uhrzeit hostname) dann irgendne Textuelle meldung mit maximal nem
> variablen namen, ip adressen, mac adressen, schnittstellennamen. Da hat
> doch bestimmt schon einer was entwickelt, wo man sagt, das , das, das
> ist variabel und man bekommt ne schöne logcheck regex zeichenfolge raus
> ? ;)
> 

Also ich halte variante 2 für die einzig richtige.

Zu dem Punkt "ein DSL restart würde mir auch zu ungeplanten Zeiten nicht
mehr auffallen":
Der restart wird ja immer zu etwa der gleichen zeit stattfinden, oder?
Dann kann man die regex so schreiben, dass er nur restarts von, sagen
wir mal, 01:55-01:59 ignoriert.

Die variante 3 halte ich für sehr gewagt, was ist wenn gerade zu der
Zeit eine Meldung kommt, die sehr wichtig war?

Und so schwierig sind regex nun auch wieder nicht und da sie einem
ständig über den weg laufen, lohnt es sich auch, sich mit denen näher zu
befassen.

Viele Grüße,

PJ

Reply to:

References:
- logcheck: nerven lassen, Regeln schreiben oder temporär abschalten ?
  - From: Robert Bude <dbnrup@rupat.de>

Prev by Date: Re: logcheck: nerven lassen, Regeln schreiben oder temporär abschalten ?
Next by Date: Debian und das HP Pavillon DV3-2110EG
Previous by thread: Re: logcheck: nerven lassen, Regeln schreiben oder temporär abschalten ?
Next by thread: Debian und das HP Pavillon DV3-2110EG
Index(es):
- Date
- Thread