我希望更轻松地从日志消息中创建日志检查规则。
理想情况下,我希望设置一些东西,这样我只需将收到的日志检查消息传送给某个工具,然后它会吐出一条日志检查规则,其中正则表达式位位于正确的位置。然后我会检查它并根据需要进行调整,然后再将它与我现有的规则一起安装。
具体情况是,我目前收到了一堆这样的消息:
Sep 19 06:48:51 sideshowbarker kernel: TCP: drop open request from 186.2.166.213/31877
我已经非常清楚如何手动构建一个日志检查规则来过滤掉这种消息。我只是不想手动操作。我宁愿至少部分地自动化。