logcheck: Probleme mit Regel für .ignore File

[vratislav]

Hallo,

ich habe Probleme eine Regel für diesen Eintrag aufzustellen:

Code: Select all

Sep 10 11:42:20 p15134868 amavis[20977]: (20977-01) BAD HEADER from <g*******@domainse.de>: Non-encoded 8-bit data (char F6 hex) in message header 'From'n  From: "Bj\366rn Go*****...n           ^

Die Einträge mit amavis BAD HEADER sollen ignoriert werden. Es ist mir ein Rätsel warum es nicht funktioniert. Ich habe schon diverse andere Regeln aufgestellt die beachtet werden.

Meine Versuche:

Code: Select all

amavis[.*]: .*: Non-encoded
amavis.*BAD HEADER

brachten keinen Erfolg.

Habt Ihr eine Idee ?

Danke,

Björn

[dodolin]

Code: Select all

amavis.*: .* BAD HEADER .*

Leerzeichen beachten. HTH.

[captaincrunch]

Leerzeichen beachten

Sollten die nicht ohnehin durch ".*" wegfallen ?

[dodolin]

@CC: Jo, für gewöhnlich matched '.' auch auf Leerzeichen. Es schadet aber IMHO nicht, wenn man vor und nach dem Pattern 'BAD HEADER' noch explizit ein Leerzeichen matched, um nicht was falsches zu matchen, z.b. 'BAD HEADERS'... :)

[vratislav]

Hallo,

ich habe die Leerzeichen beachtet, aber es will nicht.

Code: Select all

p15134868 amavis[24381]: (24381-01) BAD HEADER from <ot****ailservice@newsaktuell.de>: Non-encoded 8-bit data (char DF hex) in message header 'Subject'n  Subject: ...octer&Gamble und IBM schlie\337en 400 Millione...n                   

Ist es eventuell möglich, daß die Zeile zu lang ist? Die Regel scheint mir von der Syntax her richtig zu sein.

Sie wird mit Sicherheit auch abgearbeitet, jedenfalls greifen die anderen Regeln in der gleichen Datei.

Björn

[f. hopper]

In welcher "Rubrik" der Logcheck-Mails taucht es denn auf? Logcheck unterscheidet AFAIK verschiedene ignore-Sektionen, die in ignore.d/ und Sachen, die über logcheck.violations.ignore angelegt werden. Korrigiert mich, wenn ich falsch liege, habe zur Zeit nämlich ein ähnliches Problem mit ignores für qmail-Meldungen ;)

[vratislav]

In welcher "Rubrik" der Logcheck-Mails taucht es denn auf?

Das File liegt in /ignore.d.server. Ich habe, in meinem Fall, die postfix Datei ergänzt.

Die Meldung selber taucht im Abschnitt "Possible Security Violations" auf.

Björn

[vratislav]

logcheck.violations.ignore angelegt werden

Das wars ! Ich habe die entsprechende Regel nun in diesem File eingebunden, jetzt greift sie.

Mit Dank für den Tipp,

Björn

[chrisu]

Bei mir funktioniert es leider nicht.
Egal in welches File ich die zu ignorierende Zeichenfolge reinpacke, in der nächsten Mail steht es trotzdem drin :-(

Versteh ich vielleicht was falsch? Es muss doch nichts aktualisiert oder neu gestartet werden; nur das Ignore-File ändern und logcheck aufrufen, oder?

Beispiel aus server.ignore:

sshd.*: Did not receive identification string from 123.123.123.123
postfix/smtpd.*: lost connection after CONNECT from technik.server.de[123.123.123.123]
proftpd.*: mein.server.de (technik.server.de[123.123.123.123]) - FTP session opened.
-f.*: (null) at technik.server.de (123.123.123.123): -ERR POP EOF or I/O Error [popper.c:820]
-f.*: I/O error flushing output to client at technik.server.de [123.123.123.123]: Operation not permitted (1) [pop_send.c:689]

Oder filtere ich völlig falsch?

Christoph