Genau das brauche ich, was David schrieb: nur die sshd-Meldungen eines anderen Hosts ausblenden! Aber noch funktioniert es nicht: * David Haller schrieb:
==== ## zwei Filter, damit man gezielt noch Meldungen in die normale ## messages bekommen kann, die dürften dann von f_sr_mod nicht erfasst ## werden filter f_sr_mod { facility(kern) and match("kernel:.*sr[0-9]"); }; filter f_sr_mod_all { facility(kern) and match("kernel:.*sr[0-9]"); };
Meiner: # Bsp-Nachricht aus /var/log/messages: # Nov 15 22:34:05 rex4 sshd[13158]: Accepted publickey for root from 192.168.0.151 port 40636 ssh2 filter f_sshd_suse92vm { facility(kern) and match("sshd*from 192\.168\.0\.151"); }; Was fuer eine facitity ist denn sshd? Es steht nix vor sshd davor ...hmmm Habe auch schon probiert ganz ohne facility: .... { match("sshd*from 192\.168\.0\.151"); }; und diesen filter an erste Stelle. Geht aber auch nicht. Hab's auch schon mit level(info) versucht, geht auch nicht.
## Standardfilter ergänzen (umformatiert): filter f_messages { not facility(news, mail) and not filter(f_iptables) and not filter(f_sr_mod); }; filter f_warn { level(warn, err, crit) and not filter(f_iptables) and not filter(f_sr_mod); };
## sr_mod in eigenes File schreiben destination srmodmessages { file("/var/log/sr_mod"); }; log { source(src); filter(f_sr_mod_all); destination(srmodmessages); }; ====
Mit destination: destination suse92vm_ssh_time_sync { file("/var/log/suse92vm_ssh_time_sync"); }; log { source(src); filter(f_sshd_suse92vm); destination(suse92vm_ssh_time_sync); }; Letztlich sollen die Nachrichten nach /dev/null. Aber das ist der zweite Schritt, erstmal müssen die überhaupt erstmal abgefangen werden.
Du solltest anhand dieses Beispiels die Meldungen des sshd zu der bestimmten IP herausfiltern können, so in etwa:
filter f_sshd_nagios { facility(kern) and match("sshd:.*from 10\.0\.0\.99"); };
Evtl. stimmt die facility nicht.
hmm... es geht mit meinem Filter nach Deinem Muster nicht, die Nachrichten schlagen nach wie vor in /var/log/messages ein. /var/log/suse92vm_ssh_time_sync ist leer (habe ich mit > /var/log/suse92vm_ssh_time_sync per Hand erzeugt). Jmd eine Idee warum? Wen's interessiert warum diese vielen ssh-Aufrufe: eine Suse92 läuft im runlevel 3 mit einer LAMP-Anwendung, die nach neuem mySQL/php5 zu portieren ist zu aufwändig, daher startet eben immer alte Suse 9.2. Im runlevel3 laufen die vmware tools nicht, daher auch keine Zeitsynchronisation. Da die Uhr in der Suse 9.2-VMware-machine 3 Male zu langsam ist (also 1 Sek wie 3 zählt) und ich eine Minutengenaue Zeit brauche, findet eben alle 10 Sek ein Zeitabgleich per ssh statt. Und dieser soll bitte aus meiner /var/log/messages verschwinden. Gruss Ekkard -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org