我们有一个用于logcheck忽略模式的自定义文件。 今天我决定再添加一个,但是不像以前那样顺利。
我通常做的是制作一个正则expression式,匹配我需要使用egrep忽略的行,然后将正则expression式放在/etc/logcheck/ignore.d.server/local文件中。 这一次它不工作,我为什么难倒。
这些是我想要排除的条目的types:
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session opened for user logcheck by graeme(uid=0) Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session closed for user logcheck 这是我的正则expression式模式:
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sudo: pam_unix\(sudo:session\): session (opened|closed) for user [a-z0-9.-]+( by [a-z0-9.-]+\(uid=[0-9]+\))?$
没有什么太忙碌的,在/var/log/auth.log文件中用egrep模式显示我想忽略的所有行。 任何人都可以指出为什么logcheck不会忽略这些行?
根据launchpad bug#243693,每个sudo事件都在违规层处理。
除了在/etc/logcheck/ignore.d.server/local包含正则expression式之外,您还可能需要将其包含在/etc/logcheck/violations.ignore.d/logcheck-sudo