У нас есть собственный файл для шаблонов игнорирования logcheck. Сегодня я решил добавить еще один, но он работает не так гладко, как я привык.
Обычно я создаю регулярное выражение, которое будет соответствовать строке (строкам), которые мне нужно игнорировать, используя egrep, а затем просто помещаю регулярное выражение в файл /etc/logcheck/ignore.d.server/local. На этот раз он не работает, и я не понимаю, почему.
Вот типы записей, которые я хочу исключить:
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session opened for user logcheck by graeme(uid=0)
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session closed for user logcheck
Это мой шаблон регулярного выражения:
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sudo: pam_unix\(sudo:session\): session (opened|closed) for user [a-z0-9.-]+( by [a-z0-9.-]+\(uid=[0-9]+\))?$
Ничего особенного, и использование этого шаблона с egrep в файле /var/log/auth.log показывает мне все строки, которые я хочу игнорировать. У кого-нибудь есть указатели на то, почему logcheck не игнорирует строки?
По данным Launchpad ошибка # 243693 каждое событие sudo обрабатывается на уровне нарушений.
Помимо включения вашего регулярного выражения в /etc/logcheck/ignore.d.server/local
вам также может потребоваться включить его в /etc/logcheck/violations.ignore.d/logcheck-sudo