Règles logcheck

Support Debian
#1

Bonjour tous,
pouvez-vous m’aider pour créer une règles pour locgcheck ?
J’ai un serveur à la maison et j’ai ajouté un disque dur usb externe qui fait office de stockage multimédia sur le réseau local.
Il est connecté à la demande via autofs.
Donc à chaque utilisation j’ai des lignes qui apparaissent dans sylog, exemple :

Mar 15 08:21:29 serv kernel: [145682.160969] usb-storage: Attempting to get CSW... Mar 15 08:21:29 serv kernel: [145682.160974] usb-storage: usb_stor_bulk_transfer_buf: xfer 13 bytes Mar 15 08:21:29 serv kernel: [145682.161075] usb-storage: Status code 0; transferred 13/13 Mar 15 08:21:29 serv kernel: [145682.161078] usb-storage: -- transfer complete Mar 15 08:21:29 serv kernel: [145682.161082] usb-storage: Bulk status result = 0 Mar 15 08:21:29 serv kernel: [145682.161086] usb-storage: Bulk Status S 0x53425355 T 0x812 R 0 Stat 0x0 Mar 15 08:21:29 serv kernel: [145682.161092] usb-storage: scsi cmd done, result=0x0 Mar 15 08:21:29 serv kernel: [145682.161097] usb-storage: *** thread sleeping. Mar 15 08:21:29 serv kernel: [145682.161264] usb-storage: queuecommand called Mar 15 08:21:29 serv kernel: [145682.161293] usb-storage: *** thread awakened.

Donc il y en a énormément se qui a pour effet de faire planté les rapports de logcheck et a cause de sendmail :

sendmail: 552 sorry, that message size exceeds my databytes limit (#5.3.4) Error closing sendmail: non-zero exit (1) at /usr/bin/mime-construct line 574

Durant la création du rapport logcheck utilise le cpu à 100% aussi.

Donc je cherche une bonne règle à ajouter à /etc/logcheck/ignore.d.server/ pour éviter que logcheck lise les lignes avec usb-storage dans syslog.

Merci d’avance.
à plus

#2

Je m’abonne!! je connais le même soucis…

#3

Bonsoir
voilà j’ai trouver pour filtrer donc en fait je chercher loin alors que il y a plein d’exemple dans logcheck.
j’ai pris la règle : /etc/logcheck/ignore.d.paranoid/usb que j’ai adapté en épluchant /var/log/syslog

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: \[[ 0-9\.]*\] usb-storage: ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: \[[ 0-9\.]*\] sd 5:0:0:0: ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: \[[ 0-9\.]*\] usb ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: \[[ 0-9\.]*\] scsi5 : SCSI ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: \[[ 0-9\.]*\] scsi 5:0:0:0: ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: \[[ 0-9\.]*\] sdc

à plus

#4

Merci pour le partage et la solution pitcat!

#5

Juste pour info ayant par inadvertance cocher la case lors de la compil de mon noyau:

Je me suis donc retrouve avec des logs de 3.5 giga comme debug et kernel et un /var/log à 18 giga.
Pour reduire cela j’ai fait :

cat /dev/null > /var/log/kern.log.1 cat /dev/null > /var/log/kern.log cat /dev/null > /var/log/debug cat /dev/null > /var/log/debug.1 cat /dev/null > /var/log/syslog
Pour vérifier si vous avez le debug usb actif :

[code]grep -i USB_STORAGE_DEBUG /boot/config-uname -r

CONFIG_USB_STORAGE_DEBUG is not set[/code]

à plus