Logcheck ne filtre pas correctement

Support Debian
#1

Bonjour,

J’ai une Squeeze avec logcheck d’installé, mais ce dernier m’envoie toujours des mails beaucoup trop long. J’ai le paquet logcheck-database d’installé, et je l’ai configuré en mode “workstation”, cependant il m’envoie des mails extrêmement long car il y’a notamment tout le contenu du démarrage. J’ai vérifié sur quelques règles, et il m’envoie bien des lignes qui devraient être filtrées.
J’ai essayé de le forcer en mode “workstation” en rajoutant le “-w” à la ligne de commande, mais bien qu’il indique être dans ce mode (vu avec le mode debug), ça n’y fait rien.

Si quelqu’un à d’autres idées, je suis preneur :wink:

#2

fonctionnement normal, logcheck se lance au boot de la machine puis toutes les heures. c’est parametré dans /etc/cron.d/logcheck.

[code]machine:~# cat /etc/cron.d/logcheck

/etc/cron.d/logcheck: crontab entries for the logcheck package

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root

@reboot logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck -R; fi
2 * * * * logcheck if [ -x /usr/sbin/logcheck ]; then nice -n10 /usr/sbin/logcheck; fi

EOF

machine:~#
[/code]

je pense qu’au boot il ne cherche pas à comprendre et il envoie toute la séquence.
commente la ligne qui commence par @reboot pour désactiver le lancement au boot.

#3

Merci de me répondre :wink:

Malheureusement, j’ai déjà désactivé le lancement au boot, et j’ai réglé le second pour qu’il se lance toutes les 4 heures.

#4

Je pense avoir résolu mon problème. Il s’agit, je pense, d’un bug déjà indiqué (cf. http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=494740). Seuls les messages venant du kernel sont affectés avec les logcheck < 1.3.0.

Cela vient du fait que les kernels ne formatent plus leurs messages de la même manière.

Format ancienne règle :
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel:( [[[:digit:]]+.[[:digit:]]+])? cdrom: open failed.$

Les nouvelles règles doivent être ainsi :
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel:( [ *[[:digit:]]+.[[:digit:]]+])? cdrom: open failed.$

Donc je pense que mon problème est résolu :wink: , même si j’ai encore beaucoup trop de messages venant du kernel et qui sont tout à fait normaux. Je vais rajouter pas mal de règles. :smiley: