Назад | Перейти на главную страницу

Пользовательский шаблон logcheck совпадает с использованием egrep, но logcheck не исключает соответствующие строки

У нас есть собственный файл для шаблонов игнорирования logcheck. Сегодня я решил добавить еще один, но он работает не так гладко, как я привык.

Обычно я создаю регулярное выражение, которое будет соответствовать строке (строкам), которые мне нужно игнорировать, используя egrep, а затем просто помещаю регулярное выражение в файл /etc/logcheck/ignore.d.server/local. На этот раз он не работает, и я не понимаю, почему.

Вот типы записей, которые я хочу исключить:

Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session opened for user logcheck by graeme(uid=0)
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session closed for user logcheck

Это мой шаблон регулярного выражения:

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sudo: pam_unix\(sudo:session\): session (opened|closed) for user [a-z0-9.-]+( by [a-z0-9.-]+\(uid=[0-9]+\))?$

Ничего особенного, и использование этого шаблона с egrep в файле /var/log/auth.log показывает мне все строки, которые я хочу игнорировать. У кого-нибудь есть указатели на то, почему logcheck не игнорирует строки?

По данным Launchpad ошибка # 243693 каждое событие sudo обрабатывается на уровне нарушений.

Помимо включения вашего регулярного выражения в /etc/logcheck/ignore.d.server/local вам также может потребоваться включить его в /etc/logcheck/violations.ignore.d/logcheck-sudo