Я хотел бы упростить создание правил проверки журнала из сообщений журнала.
В идеале я хотел бы иметь что-то такое, что я просто беру полученное мной сообщение logcheck и перенаправляю его какому-нибудь инструменту, и оно выводит правило logcheck с битами регулярного выражения в нужных местах. А затем я просматриваю это и настраиваю по мере необходимости перед установкой вместе с моими существующими правилами.
Конкретный контекст заключается в том, что в настоящее время я получаю кучу таких сообщений:
Sep 19 06:48:51 sideshowbarker kernel: TCP: drop open request from 186.2.166.213/31877
Я уже очень хорошо понимаю, как из этого вручную создать правило logcheck, которое будет отфильтровывать такие сообщения. Я просто не хочу делать это вручную. Я бы предпочел автоматизировать это, хотя бы частично.