sec und regulärer Ausdruck

20/02/2014 - 08:31 von Marcel Müller | Report spam
Moin.

Mal gucken, ob mir hier jemand weiterhelfen kann ;)

Ich habe mir sec (den simple event correlator) installiert und nutze
das, um beispielsweise SSH-Loginversuche zu protokollieren.

Fehlgeschlagene versuche matcht das Tool mit einem regulàren Ausdruck
und das funktioniert auch wunderbar. Wenn ich aber das Suchmuster für
erfolgreiche Versuche übernehmen will, wird die passende "action" nicht
ausgeführt, sprich: er matcht das Ereignis wohl nicht.

ssh_fail.conf:
type=SingleWithThreshold
ptype=RegExp
pattern=[\d+\]: Failed .+ for (\S+) from [\d.]+ port \d+ ssh2
desc=SSH login failure for user $1
action=pipe '$0' /usr/bin/mail -s 'SSH login attempt' me@email.xxx
window0
thresh=3

ssh_success.conf:
type=Single
ptype=RegEx
pattern=[\d+\]: Accepted .+ for (\S+) from [\d.]+ port \d+ ssh2
desc=SSH Login successful
action=pipe '$0' /usr/bin/mail -s 'SSH login success' me@email.xxx


Wenn ich in ssh_success.conf das pattern auf substring setze, matcht er,
liefert mir aber dann nicht den Log-Eintrag zurück.

Ich habe schon ein paar Hinweise von Tante Google ausprobiert, aber
keiner davon führte zum gewünschten Erfolg.

Danke für Tips und Hinweise in die richtige Richtung im voraus.

(Und ja, ich mag regulàre Ausdrücke nicht wirklich, so praktisch sie
auch sein können)

Gruß,

Marcel
 

Lesen sie die antworten

#1 Frank Beythien
20/02/2014 - 08:54 | Warnen spam
Am 20.02.2014 08:31, schrieb Marcel Müller:
Moin.

Mal gucken, ob mir hier jemand weiterhelfen kann ;)



Vielleicht ist da ein Tippi drin?


ssh_fail.conf:
type=SingleWithThreshold
ptype=RegExp



Hier RegExp

pattern=[\d+\]: Failed .+ for (\S+) from [\d.]+ port \d+ ssh2
desc=SSH login failure for user $1
action=pipe '$0' /usr/bin/mail -s 'SSH login attempt'
window0
thresh=3

ssh_success.conf:
type=Single
ptype=RegEx



Hier nur RegEx

CU/2
Frank

Ähnliche fragen