我们有一个用于 logcheck 忽略模式的自定义文件。今天我决定添加另一个,但它的工作并不像我习惯的那样顺利。
我通常的做法是使用 egrep 制作一个正则表达式,使其与需要忽略的行相匹配,然后将该正则表达式放入 /etc/logcheck/ignore.d.server/local 文件中。这次它不起作用,我不知道为什么。
这些是我想要排除的条目类型:
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session opened for user logcheck by graeme(uid=0)
Oct 19 17:32:15 box sudo: pam_unix(sudo:session): session closed for user logcheck
这是我的正则表达式模式:
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sudo: pam_unix\(sudo:session\): session (opened|closed) for user [a-z0-9.-]+( by [a-z0-9.-]+\(uid=[0-9]+\))?$
没什么大不了的,在 /var/log/auth.log 文件上使用该模式和 egrep 会显示我想要忽略的所有行。有人能指点一下为什么 logcheck 不会忽略这些行吗?
答案1
根据启动板错误 #243693每个 sudo 事件都在违规层处理。
除了将正则表达式包含在内之外,/etc/logcheck/ignore.d.server/local您可能还必须将其包含在/etc/logcheck/violations.ignore.d/logcheck-sudo