Re: logcheck nervt

Wed, 12 May 2004 03:13:29 -0700

On 2004.05.12 09:50, Ramin Motakef wrote:
Andreas Schmidt <[EMAIL PROTECTED]> writes:

> Hallo,
>
> habe vor einiger Zeit logcheck upgedatet (jetzt 1.2.19-2)  und
seitdem
> nervt das dauernd mit solchen Eintraegen:
> May 11 15:06:42 rocket -- MARK --
>

Falls du unstable benutzt: Logcheck l�uft nicht mehr als root und bei
mir stimmten dann einige Berechtigungen bei den ignore Dateien nicht
mehr.

Pr�f mal ob alle Dateien vom User logcheck bzw. seinen Gruppen lesbar
sind.

Hmmm, nach dem update gab es tatsaechlich Probleme, weshalb ich manuell fuer die Files in /etc/logcheck/ als group logcheck eingestellt hatte. (siehe http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=247279) Es gab dann noch einen anderen Bug, wo die Logs in /var/log nicht gelesen werden konnten, weil die root:adm gehoeren (
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=248046). Der Bug ist aber auch schon gefixt:

[EMAIL PROTECTED]:/etc/logcheck# groups logcheck
logcheck : logcheck adm

Ausserdem habe ich ja nicht zu wenig Output habe, sondern logcheck filtert nicht genug weg. Es muesste eigentlich mit den RegEx zu tun haben, aber ich kann da nichts finden.

[EMAIL PROTECTED]:/etc/logcheck# egrep "^[[:alnum:]]" logcheck.conf
REPORTLEVEL="server"
SENDMAILTO="root"
FQDN=1
ATTACKSUBJECT="Attack Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
[EMAIL PROTECTED]:/etc/logcheck# grep MARK ignore.d.server/*
ignore.d.server/logcheck:^\w{3} [ :0-9]{11} [._[:alnum:]-]+ -- MARK --. *$
ignore.d.server/logcheck:^\w{3} [ :0-9]{11} [._[:alnum:]-]+ [ -]+MARK [ -]+$
ignore.d.server/logcheck:^\w{3} [ :0-9]{10} [._[:alnum:]-]+ [ -]+MARK [ -]+$
ignore.d.server/logcheck:^\w{3} [ :0-9]+ [._[:alnum:]-]+ -- MARK --.*$
ignore.d.server/logcheck:^\w{3} [ :0-9]+ [._[:alnum:]-]+ -- MARK --
ignore.d.server/logcheck: -- MARK --
ignore.d.server/logcheck.dpkg-old:-- MARK --


Schoenen Gruss,

Andreas


--
Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Antwort per Email an