我想更轻松地从日志消息创build日志检查规则。
理想情况下,我想设置一些东西,使得我只接收一个我收到的logcheck消息,并将其传递给某个工具,然后在正确的位置使用正则expression式位进行日志检查。 然后根据需要对其进行检查并进行调整,然后将其与现有规则一起安装。
具体的上下文是,我目前正在得到一堆这样的消息:
Sep 19 06:48:51 sideshowbarker kernel: TCP: drop open request from 186.2.166.213/31877 我已经非常了解如何从手动构build一个日志检查规则,将过滤这种types的消息。 我只是不想手动。 我宁愿自动化,至less部分。