Syslog: Пошлем документы почтой часть 4

Подробности

Создано 13.10.2013 00:41

Теперь вы будете получать ежечасные оповещения о новых записях, добавленных в системный журнал. Оповещения могут показаться слишком подробными; есть список безобидных/простых сообщений, которые игнорируются по умолчанию, но он склонен к излишней предосторожности. Вы почти наверняка захотите добавить фильтры, особенно если у вас есть любые часто запускаемые задания Cron.

Заглянув в /etc/logcheck/ignore.d.workstation (или файл с окончанием "server", если вы пользуетесь этим профилем), вы увидите файлы, содержащие регулярные выражения, которые нужно игнорировать. Не редактируйте их: создайте свои собственные и назовите их, например, "local". Каждая строка этого файла — регулярное выражение, описывающее, какие сообщения игнорировать. Так, подключение флэшки —

Jun 25 15:38:34 hactar kernel: sd 9:0:0:0: Attached scsi generic sg9 type 0 позволит проигнорировать такое регулярное выражение:

^\w(3] [ :0-9]{11) [._[:alnum:]-]+ kernel: sd .* Attached scsi generic .*

Выглядит это выражение жутко, но оно следует формату существующих правил. Первая часть соответствует времени, дате и имени хоста, затем должна идти строка "kernel", а за ней строка с "Attached scsi generic". Чтобы избежать ложных совпадений, эти выражения нужно делать максимально конкретными. Проверить выражения в файле можно утилитой еgrер: egrep -f /etc/logcheck/ignore.d.workstation/local /var/log/messages

Она выведет все строки, соответствующие выражению, те, которые вы не хотите видеть в отчетах logcheck.