Hallo, Am Son, 15 Nov 2009, Ekkard Gerlach schrieb:
Genau das brauche ich, was David schrieb: nur die sshd-Meldungen eines anderen Hosts ausblenden! Aber noch funktioniert es nicht:
* David Haller schrieb:
==== ## zwei Filter, damit man gezielt noch Meldungen in die normale ## messages bekommen kann, die dürften dann von f_sr_mod nicht erfasst ## werden filter f_sr_mod { facility(kern) and match("kernel:.*sr[0-9]"); }; filter f_sr_mod_all { facility(kern) and match("kernel:.*sr[0-9]"); };
Meiner:
# Bsp-Nachricht aus /var/log/messages: # Nov 15 22:34:05 rex4 sshd[13158]: Accepted publickey for root from 192.168.0.151 port 40636 ssh2 filter f_sshd_suse92vm { facility(kern) and match("sshd*from 192\.168\.0\.151"); }; ^^^ Regex! Nicht Glob!
'.*' matcht auf bel. viele bel. Zeichen, du matcht hier auf ssh, bel. viele 'd', from, dein Muster passt also z.B. auf sshfrom, sshdfrom oder auch sshdddddddddfrom.
Was fuer eine facitity ist denn sshd?
kernel oder eine der local Facilities. IIRC knan man das auch in der sshd.conf definieren, welche verwendet werden soll. [..]
Letztlich sollen die Nachrichten nach /dev/null. Aber das ist der zweite Schritt, erstmal müssen die überhaupt erstmal abgefangen werden.
Rest sieht ok aus und sollte funktionieren, wenn das 'match' korrigiert ist. -dnh -- Und als nächste dürfen Querschnittgelähmte spammen, Blinde dürfen meinen Server aufmachen, und wer als Kind im Ostblock aufgewachsen ist darf HTML-Mails schreiben? Super. Ich hatte mal Mittelohrentzündung, das sollte reichen, um Outlook benutzen zu dürfen? -- ratti in suse-linux -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org