为什么此行包含在“logcheck”报告电子邮件中?

为什么此行包含在“logcheck”报告电子邮件中?

除了 Debian 提供的规则集之外,我还在新安装的 logcheck 设置中添加了一个文件 /etc/logcheck/ignore.d.workstation/wpasupplicant.local (所有者 root:logcheck,模式 0644)。我已确认 /etc/logcheck/logcheck.conf 中的 REPORTLEVEL 设置为“workstation”。 wpasupplicant.local 的内容只有一行:

^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ wpa_supplicant\[[[:digit:]]+\]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX \[GTK=CCMP\]$

其中 XX:XX:XX:XX:XX:XX 是我的 WiFi AP/网关的小写十六进制 MAC 地址。

但是,我仍然每小时收到电子邮件报告(每次执行日志检查时),其中包括以下内容(时间各不相同;我已设置以相当短的间隔完成重新加密):

Aug 11 20:06:51 yeono wpa_supplicant[2524]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX [GTK=CCMP]

同样,XX:XX:XX:XX:XX:XX 是我要连接的小写十六进制 MAC 地址。我已经仔细检查了两者中显示的 MAC 地址是否相同。

如果我这样做grep -E --color "$(cat wpasupplicant.local)" -,然后将从日志电子邮件中直接复制的日志行粘贴到 grep 的标准输入中,则表明完全匹配(整行都向我回显,颜色为红色)。

由于数据确实与正确ignore目录中的某些内容匹配,因此我希望该行不会包含在电子邮件报告中。我检查了 /etc/logcheck/violations.d 和 /etc/logcheck/cracking.d ,似乎都不包含任何相关内容(grep -i WPA *在这两个目录中显示为空)。

日志检查报告电子邮件中包含“重新加密已完成”行的原因可能是什么?

答案1

阅读README.logcheck-database

Another safety-net is provided by the fact that the process that
collates all the applicable rules uses "run-parts", the standard
Debian utility also used for iterating through "/etc/cron.d",
"/etc/ppp/ip-up.d" etcetera.  It therefore automatically ignores
files with names such as "fooserver.disabled" or "local~".

我不确定.local扩展是否使 logcheck 跳过您的wpasupplicant.local文件,如果没有.local?它是否可以工作?

相关内容