logcheck: Probleme mit Regel für .ignore File

Rund um die Sicherheit des Systems und die Applikationen
vratislav
Posts: 118
Joined: 2002-05-05 12:05

logcheck: Probleme mit Regel für .ignore File

Post by vratislav » 2003-09-10 11:47

Hallo,

ich habe Probleme eine Regel für diesen Eintrag aufzustellen:

Code: Select all

Sep 10 11:42:20 p15134868 amavis[20977]: (20977-01) BAD HEADER from <g*******@domainse.de>: Non-encoded 8-bit data (char F6 hex) in message header 'From'n  From: "Bj\366rn Go*****...n           ^
Die Einträge mit amavis BAD HEADER sollen ignoriert werden. Es ist mir ein Rätsel warum es nicht funktioniert. Ich habe schon diverse andere Regeln aufgestellt die beachtet werden.

Meine Versuche:

Code: Select all

amavis[.*]: .*: Non-encoded
amavis.*BAD HEADER
brachten keinen Erfolg.

Habt Ihr eine Idee ?

Danke,

Björn

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: logcheck: Probleme mit Regel für .ignore File

Post by dodolin » 2003-09-10 14:50

Code: Select all

amavis.*: .* BAD HEADER .*
Leerzeichen beachten. HTH.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: logcheck: Probleme mit Regel für .ignore File

Post by captaincrunch » 2003-09-10 14:59

Leerzeichen beachten
Sollten die nicht ohnehin durch ".*" wegfallen ?
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: logcheck: Probleme mit Regel für .ignore File

Post by dodolin » 2003-09-10 15:06

@CC: Jo, für gewöhnlich matched '.' auch auf Leerzeichen. Es schadet aber IMHO nicht, wenn man vor und nach dem Pattern 'BAD HEADER' noch explizit ein Leerzeichen matched, um nicht was falsches zu matchen, z.b. 'BAD HEADERS'... :)

vratislav
Posts: 118
Joined: 2002-05-05 12:05

Re: logcheck: Probleme mit Regel für .ignore File

Post by vratislav » 2003-09-10 16:04

Hallo,

ich habe die Leerzeichen beachtet, aber es will nicht.

Code: Select all

p15134868 amavis[24381]: (24381-01) BAD HEADER from <ot****ailservice@newsaktuell.de>: Non-encoded 8-bit data (char DF hex) in message header 'Subject'n  Subject: ...octer&Gamble und IBM schlie\337en 400 Millione...n                   
Ist es eventuell möglich, daß die Zeile zu lang ist? Die Regel scheint mir von der Syntax her richtig zu sein.

Sie wird mit Sicherheit auch abgearbeitet, jedenfalls greifen die anderen Regeln in der gleichen Datei.

Björn

f. hopper
Posts: 10
Joined: 2002-06-22 19:20
Location: Hessen

Re: logcheck: Probleme mit Regel für .ignore File

Post by f. hopper » 2003-09-11 11:04

In welcher "Rubrik" der Logcheck-Mails taucht es denn auf? Logcheck unterscheidet AFAIK verschiedene ignore-Sektionen, die in ignore.d/ und Sachen, die über logcheck.violations.ignore angelegt werden. Korrigiert mich, wenn ich falsch liege, habe zur Zeit nämlich ein ähnliches Problem mit ignores für qmail-Meldungen ;)

vratislav
Posts: 118
Joined: 2002-05-05 12:05

Re: logcheck: Probleme mit Regel für .ignore File

Post by vratislav » 2003-09-11 11:18

In welcher "Rubrik" der Logcheck-Mails taucht es denn auf?
Das File liegt in /ignore.d.server. Ich habe, in meinem Fall, die postfix Datei ergänzt.

Die Meldung selber taucht im Abschnitt "Possible Security Violations" auf.

Björn

vratislav
Posts: 118
Joined: 2002-05-05 12:05

Re: logcheck: Probleme mit Regel für .ignore File

Post by vratislav » 2003-09-11 11:22

logcheck.violations.ignore angelegt werden
Das wars ! Ich habe die entsprechende Regel nun in diesem File eingebunden, jetzt greift sie.

Mit Dank für den Tipp,

Björn

chrisu
Posts: 54
Joined: 2003-10-22 22:45

Re: logcheck: Probleme mit Regel für .ignore File

Post by chrisu » 2004-02-06 10:09

Bei mir funktioniert es leider nicht.
Egal in welches File ich die zu ignorierende Zeichenfolge reinpacke, in der nächsten Mail steht es trotzdem drin :-(

Versteh ich vielleicht was falsch? Es muss doch nichts aktualisiert oder neu gestartet werden; nur das Ignore-File ändern und logcheck aufrufen, oder?

Beispiel aus server.ignore:
sshd.*: Did not receive identification string from 123.123.123.123
postfix/smtpd.*: lost connection after CONNECT from technik.server.de[123.123.123.123]
proftpd.*: mein.server.de (technik.server.de[123.123.123.123]) - FTP session opened.
-f.*: (null) at technik.server.de (123.123.123.123): -ERR POP EOF or I/O Error [popper.c:820]
-f.*: I/O error flushing output to client at technik.server.de [123.123.123.123]: Operation not permitted (1) [pop_send.c:689]
Oder filtere ich völlig falsch?

Christoph