Cum se suprimă mesajele rsyslogd HUPed din logcheck? (Unix, Debian, Rsyslog, Logcheck)

test3 a intrebat.

Primesc aceste…

Jan  7 06:25:01 debian liblogging-stdlog:  [origin software="rsyslogd" swVersion="8.24.0" x-pid="551" x-info="http://www.rsyslog.com"] rsyslogd was HUPed

Regula implicită Debian pentru logcheck /etc/logcheck/ignore.d.server/rsyslog

^w{3} [ :0-9]{11} [._[:alnum:]-]+ rsyslogd: [origin software="rsyslogd" swVersion="[0-9.]+" x-pid="[0-9]+" x-info="http://www.rsyslog.com"] rsyslogd was HUPed$

Reguli personalizate încercate /etc/logcheck/ignore.d.server/rsyslog-fix

^w{3} [ :0-9]{11} [._[:alnum:]-]+ liblogging-stdlog:  [origin software="rsyslogd" swVersion="[0-9.]+" x-pid="[0-9]+" x-info="http://www.rsyslog.com"] rsyslogd was HUPed$
^w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ liblogging-stdlog:  [origin software="rsyslogd" swVersion="[0-9.]+" x-pid="[[:digit:]]+" x-info="http://www.rsyslog.com"] rsyslogd was HUPed$

Aveți vreo idee?? Thx!

2 răspunsuri
Ferenc Wágner
  1. Verificați dacă există spații albe sau caractere speciale (cum ar fi CR) la sfârșitul liniei de jurnal; încercați să le includeți prin închiderea temporară a modelului cu .*$.
  2. Verificați /etc/logcheck/violations.d și /etc/logcheck/cracking.d pentru modelele de potrivire, aceste directoare au prioritate față de /etc/logcheck/ignore.d.

egrep -f /etc/logcheck/DIR/FILE este un instrument bun pentru testarea regulilor dumneavoastră.

Comentarii

  • Mulțumesc, prima comandă de mai sus pare să funcționeze, lipsea un spațiu în configurația mea existentă… Testat folosind egrep așa cum ați sugerat. Încercat logcheck-test nu funcționează pentru mine… –  > Por test3.
Arkadiy Bolotov

Am adăugat pur și simplu această linie la /etc/rsyslog.conf și am repornit-o:

if ($msg contains "rsyslogd was HUPed") then stop

Suficient de bine pentru mine.