logsurfer configuration

From: Matthias Teege <matthias-dbsdq(at)mteege.de>
Date: Mon, 28 Feb 2005 01:35:23 +0100

Ich habe hier einen Logserver zu laufen und eine Frage zur
Konfiguration von lugsurfer. Ich möchte gernen eine Programm
ausführen, wenn ein Nutzer sich nach einem fehlgeschlagenen
Anmeldeversuch doch noch erfolgreich anmeldet. Dazu habe ich folgende
Regel konfiguriert:

'sshd\[([0-9]*)\]: error: PAM: Authentication failure' - - - 0
         open "sshd\\[$2\\]:" - 10 3600 180 ignore
'sshd\[([0-9]*)\]: Accepted .*' - - - 0
         report "/usr/local/bin/surfmailer -r root -S \"sshd login
after failure!\"" "sshd\\[$2\\]:"

Bei dieser Konfiguration bekomme ich die entsprechende Email.
Allerdings bekomme ich auch eine leere Email, wenn ein Benutzer sich
ohne Probleme authentifiziert. Das ist bei dieser Konfiguration auch
nicht anders zu erwarten. Wie konfiguriere ich logsurfer so, dass das
"false positive" vermieden wird?

Matthias

-- 
Matthias Teege -- http://www.mteege.de
make world not war
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 28 Feb 2005 - 01:40:52 CET

search this site