Re: logsurfer und wiederholende Meldungen

Matthias Teege <matthias-dbsdq(at)mteege.de> wrote:
> ich habe hier einen FreeBSD Server auf dem ich mit logsurfer
> /var/log/messages mitlese. Nun würde ich das Ganze gerne etwas
> «tunen» und habe zwei Probleme mit, sich wiederholenden, Meldungen.
>
> Beispielsweise meldet der dyndns Klient auf der Kiste alle 24
> Stunden «SUCCESS». Ich möchte jetzt gerne eine Warnung haben, wenn
> mehr als 24 Stunden zwischen den Meldungen vergehen. Mit Logsurfer
> kann ich einen Kontext konfigurieren, der die entsprechende Zeit
> warten und bspw. nach 25 Stunden einen Fehler meldet. Das Problem
> dabei ist, dass der Kontext, im Normalfall, nie beendet wird. Gibt
> es eine andere Möglichkeit, logsurfer für diese Aufgabe zu
> konfigurieren?

Da gibt es zwei Möglichkeiten.

1. Du kannst einen Kontext mit timeout_abs=0 (d.h. kein
    absoluter Timeout) und timeout_rel=90000 (25 Stunden)
    erzeugen. Der relative Timeout wird im Normalfall alle
    24 Stunden durch den Success-Eintrag zurückgesetzt,
    also passiert nichts. Läuft er aber ab (d.h. wenn nach
    25 Stunden kein Success-Eintrag kam), führt er seine
    Default-Action aus, und Du bekommst Deine Alarm-Mail
    oder was auch immer.

2. Wenn Du lieber jedesmal einen neuen Kontext erzeugen
    möchtest (wofür es aber eigentlich keinen guten Grund
    gibt), dann machst Du eine continue-Regel, die bei dem
    entsprechenden Eintrag den aktuellen Kontext löscht,
    und eine weitere Regel, die einen neuen erzeugt. In
    diesem Fall kannst Du timeout_abs=90000 setzen.

Ich würde es auf die erste Weise machen. Ist einfacher.

> Ein zweites Problem sind, auf dem Paketfilter aufschlagende, IP
> Pakete. Die meisten sind mehr oder weniger uninteressant.
> Interessant ist aber, wenn in kurzer Zeit, viele Pakete von einem
> Absender ankommen. Ich habe jetzt einen Kontext gebaut, der
> eingehende Pakete sammelt und dabei alle fünf Sekunden einen neues
> Paket erwartet. Wird die Zeit überschritten, bekomme ich eine
> Meldung. Das Problem, auch ein Paket triggert die Meldung. Momentan
> habe ich das über ein externes Skript geregelt, dass erst noch
> einmal die gesammelten Pakete zählt bevor es mich anruft. Kann ich
> das direkt in logsurfer regeln?

Hm, das wüßte ich jetzt nicht so aus'm Kopf. Vermutlich
geht das im externen Skript am einfachsten.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
'Instead of asking why a piece of software is using "1970s technology,"
start asking why software is ignoring 30 years of accumulated wisdom.'
To Unsubscribe: send mail to majordomo.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message