logcheck meckert unberechtigt wegen avahi Meldungen

[pangu]

Hallo DF,

ich setze logcheck auf einem System ein, welches mich per eMail immer benachrichtigt wenn irgendwelche syslog-Meldungen auftauchen, die besonders Augenmerk erfordern. Seitdem ich auf wheezy upgegradet habe, kämpfe ich mit zwei Meldungen herum und eine davon sind Avahi-Meldungen die so aussehen:

System Events
=-=-=-=-=-=-=
Jun 24 09:58:34 myhostname avahi-daemon[2529]: Invalid response packet from host 192.168.200.123.
Jun 24 10:00:15 myhostnameavahi-daemon[2529]: Invalid response packet from host 192.168.200.123.
Jun 24 10:01:55 myhostnameavahi-daemon[2529]: Invalid response packet from host 192.168.200.123.

Laut meiner Google-Recherche habe ich auch bereits einen Link hierzu gefunden, der ebenfalls dieses Verhalten aufzeigt. Leider finde ich keinen Lösungsansatz, denn ich kann ja nicht einfach den avahi-daemon deinstallieren, weil ...

Code: Alles auswählen

# apt-get purge avahi-daemon
Paketlisten werden gelesen... Fertig
Abhängigkeitsbaum wird aufgebaut.
Statusinformationen werden eingelesen.... Fertig
Die folgenden Pakete werden ENTFERNT:
  avahi-daemon* gnome* gnome-core* gnome-desktop-environment* gnome-user-share* libapache2-mod-dnssd* libnss-mdns* telepathy-salut*
0 aktualisiert, 0 neu installiert, 8 zu entfernen und 0 nicht aktualisiert.
Nach dieser Operation werden 4.510 kB Plattenplatz freigegeben.
Möchten Sie fortfahren [J/n]? n
Abbruch.

er gnome entfernen würde *zitter*. Weiß hierzu jemand Abhilfe? evtl. muss man bestimmte Dateien in /etc/logcheck/ignore.d.server ablegen, damit logcheck das auch ignoriert? wenn ja, wo finde ich diese für den avahi-daemon?

[syssi]

Du weisst, wofuer die Verzeichnisse /etc/logcheck/ignore.d.* gut sind? Dort kann man weitere Muster anlegen. Empfohlen wird der Prefix "local-". Also z.B. "local-avahi". Dort schreibst du dann als regulaerer Ausdruck hinein, welche Avahi-Meldung dich weniger interessiert. In Zukunft wird diese dann auch ignoriert.

Hier ein Muster, welches auf deine gepostete Zeile passt:

37234

Pack diese Zeile in /etc/logcheck/ignore.d.server/local-avahi, sofern du logcheck im Server-Modus betreibst. Die "1. " am Anfang der Zeile ist nur die Zeilennummerierung von NoPaste. Der Schnippsel faengt bei ^ an und hoert am $ auf.

Gruss syssi

[pangu]

Hi syssi und danke für diese Zeile. Ich wüßte echt nicht, wie ich das selbst in regex schreiben sollte. Hast du diese Zeile jetzt selbst kreiert oder irgendwo herauskopiert? Ich würde nämlich wohl so was ähnliches auch für den PacketManager benötigen, wie in meinem anderen Post zuvor schon beschrieben.

[syssi]

Sie ist selbst geschrieben. Der Anfang ist immer gleich. Alles hinter dem Doppelpunkt muss man in der Regel selbst formulieren. Das war in diesem Fall nicht schwer, weil das einzige variable Element eine IP-Adresse war, welche ich noch nichtmal exakt gematcht habe, sondern lediglich mit einem Platzhalter versehen: [^[:space:]]+ (bedeutet: Alles aber kein Leerzeichen)

Bei dbus wirst du vermutlich immer mal wieder ueber eine Meldung stolpern. Hier eine Regel fuer die besagten zwei Zeilen: 37235

[Cae]

Kann's sein, dass die Wheezy-logcheck-database nicht wirklich zu den Wheezy-Versionen passt? Nicht wegen avahi oder dbus, aber bei Dovecot-Meldungen ist mir das aufgefallen:

Code: Alles auswählen

dovecot: imap-login: Login: user=<{user}>, method=PLAIN, rip={rip}, lip={lip}, mpid={pid}, TLS, session=<{session}>

(mit den Variablen {user}, {rip}, {lip}, {pid} und {session}) -- die hab' ich per local-dovecot-login-Regelsatz ausgeschlossen (hab' die RegEx gerade nicht zur Hand, die Zeile stammt aus meinem Postfach).

Gruss Cae

[pangu]

Cae, kann schon sein, wer weiß ... ich hab da noch eine Meldung gehabt, die ich ignorieren möchte, also hab ich mich mal selbst versucht mit RegExp nachdem ich ein kleines Tutorial überflogen hatte.

Die email-Nachricht von logcheck, die ich als regexp irgendwie schreiben muss, heißt:

Code: Alles auswählen

Jun 24 16:09:36 cleopatra sshd[17402]: Received disconnect from 192.168.101.117: 10: General disconnection [preauth]

Meine RegExp Zeile habe ich mal so versucht:

Code: Alles auswählen

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ sshd\[[[:digit:]]+\]: Received disconnect from \[\b(?:\d{1,3}\.){3}\d{1,3}\b\] \: [:digit:]+\: General disconnection \[preauth\]$

Aber damit meckert logcheck mit dem Fehler:

egrep: character class syntax is [[:space:]], not [:space:]

Wieso? Ich verwende doch nirgends dieses :space: ??

[syssi]

Es muss

Code: Alles auswählen

[[:digit:]]+

heissen und nicht

Code: Alles auswählen

[:digit:]+

Als Test:

Code: Alles auswählen

echo 123 | egrep "[:digit:]+"
# vs.
echo 123 | egrep "[[:digit:]]+"

[pangu]

Oh ja, stimmt. Danke. Kann man das plus Zeichen eigentlich ganz am Ende vor dem Dollarzeichen getrost weglassen oder sollte ich das verwenden??

[syssi]

Wo ist da ein Plus vor dem Dollar? Ggf. meinst du ja:

Code: Alles auswählen

$ echo 123 | egrep "^[[:digit:]]+$"
123
$ echo 123 | egrep "^[[:digit:]]$" 
$

Siehst du den Unterschied? Letzteres matcht nur auf: String-Beginnt eine-Zahl String-Endet.

[pangu]

Danke. Hab mir jetzt mal auch dieses Tutorial reingezogen und wieder einiges gelernt. Um eine IPv4 Adresse zu matchen habe ich lange rumprobiert, letztendlich bin ich hier hängengeblieben. Soweit funzt das und laut diesem regexe.de Tester klappts wohl auch. Ich hoffe ich hab keinen Denkfehler.

Code: Alles auswählen

([0-9]{1,3}\.){3}[0-9]{1,3}

[syssi]

Man glaubt es erst, wenn man es selbst mal machen musste: IP-Adressen per Regex matchen ist recht anspruchsvoll. Der Adressraum einer IP-Adresse liegt schliesslich zwischen 0.0.0.0 und 255.255.255. Dein Ausdruck akzeptiert auch 999.999.999.999. Doof oder? Es geht aber nur schwerlich besser.

[pangu]

In der Tat. Hab grad etwas gegoogelt und diesen regexp gefunden, damit "richtige" IP-Adresses gematcht werden

Code: Alles auswählen

\b(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\b

Ausprobiert habe ich es nicht, das ist ja schon ein heftig langes Biest aber hauptsache meine logcheck Ausnahme funktioniert erstmal. Danke nochmals

[Cae]

Man kann das auch noch zu

Code: Alles auswählen

((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)

zusammenschrumpfen, aber es ist ein Monstrum. Ich wuerde es bei der einfachen "drei mal [0-9]{1,3} plus \. und dazu [0-9]{1,3}" belassen, schliesslich erwartet man ja, dass 'ne IP-Adresse kommt, die schon gueltig ist (andernfalls baut der loggende Prozess Muell). Es geht ja gar nicht um input validation, man will nur vermeiden, etwas anderes als die erwartete IP-Adresse zu matchen, wie z.B. bei [0-9.]{7,15}, was auch auf z.B. 1.2.3.4 und 100.110.120.130 matchen wuerde (aber auch auf etwas wie ..15....9).

Zur Erklaerung: Der lange Ausdruck zerlegt den Bereich 255-0 in mehrere Einzelstuecke, die man fuer sich eindeutig matchen kann: 255-250, 249-200, 199-0. Die werden jeweils per | zusammen geklebt und in einer Klammer () verpackt. Ich hab' oben einfach die ersten drei Vorkommen davon samt Punkt zusammen gefasst und das vierte Oktett ohne Punkt hinten dran. Die urspruengliche Version war "aufgerollt".

Gruss Cae

[peschmae]

Gnome ist ja erst mal nur ein Metapaket - ich sehe keinen Grund das nicht zu entfernen zusammen mit dem avahi-Zeugs

MfG Peschmä