PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : logcheck - jedes mal die syslog?



balduin222
05.12.06, 12:52
Hallo zusammen,

ich habe hier logcheck jede Stunde einmal laufen. Ich bekomme dann jedesmal die syslog mit dem kompletten Inhalt der letzten Stunde zugeschickt. Ich möchte aber nur kritische Meldungen bekommen. Wie kann ich das machen? Hier meine logcheck.conf:

DATE="$(date +'%Y-%m-%d %H:%M')"
INTRO=1
REPORTLEVEL="server"
SENDMAILTO="christoph.bartels@domainxy.de"
FQDN=1
SORTUNIQ=1
SUPPORT_CRACKING_IGNORE=0
RULEDIR="/etc/logcheck"
SYSLOGSUMMARY=1
ATTACKSUBJECT="Security Alerts"
SECURITYSUBJECT="Security Events"
EVENTSSUBJECT="System Events"
ADDTAG="no"


Danke für eure Hilfe.

Gruß
balduin222

Tomek
05.12.06, 13:48
Damit sollte Schluss sein:

SYSLOGSUMMARY=0

balduin222
05.12.06, 14:16
Nein, das bringt leider auch nichts. Ich bekomme immernoch alles geschickt. Es sind zum großen Teil postfix, squid und cron Meldungen.

Tomek
05.12.06, 14:40
Wie sehen denn deine cron-Einträge für logcheck aus?

balduin222
05.12.06, 16:01
Hallo nochmal,

das Problem ist nun gelöst. Und zwar fehlte mir das Paket
logcheck-databaseWenn das installiert ist, existieren auch sämtlich Dateien mit Ausdrücken zur Filterung. Das ganze mal eben übersichtlich dargestellt:

Logcheck.hacking,
Enthält die Regeln, die die Aktivitätsebenen definieren.

Logcheck.ignore,
Enthält zu ignorierende Ausdrücke.

Logcheck.violations,
Enthält Ausdrücke, die als Sicherheitsverletzungen betrachtet werden.

Logcheck.violations.ignore,
Die in dieser Datei enthaltenen Ausdrücke werden ignoriert.

Wobei ich noch nicht so ganz den Unterschied zwischen Logcheck.ignore und Logcheck.violations.ignore verstehe. :confused:

Gruß
balduin222