Jacques L'helgoualc'h a écrit :
> giggz a écrit, dimanche 6 avril 2008, à 14:57 :
>> giggz a écrit :
>>> Bonjour,
>
> bonjour.
>
>>> Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je
>>> sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.
>>>
>>> Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
>>> je définisse des nouvelles règles. Et con que je me mette à apprendre
>>> les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
>>> je lis http://www.expreg.com)
>
> Pourquoi pas, si tu veux l'utiliser en PHP... (toutefois, dans la
> présentation il est dit qu' « on peut tout faire avec une expression
> régulière » : non ! (une regex correspond à un automate *fini* (on ne
> peut pas faire de l'arithmétique avec (comme compter des parenthèses
> (imbriquées (à un niveau quelconque)))))).
>
> D'après man 7 regex,
> ,----
> | BOGUES
> | Avoir deux sortes d'ER est un calvaire.
> |
> `----
>
> La malédiction de Babel a frappé nettement plus de deux fois :/
>
> D'après les dépendances du paquet logcheck (grep), il semblerait qu'il
> utilise grep --- vérifie la doc, tu pourras sans doute faire tes essais
> avec grep -E regex tes_logs.
>
Merci pour ça! exactement ce que je cherchais!
>
>>> Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :
>>>
>>> Apr 6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
>>> SRC=192.168.0.2 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0
>>> DF PROTO=UDP SPT=137 DPT=137 LEN=58
>>> Apr 6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
>>> SRC=192.168.0.2 DST=192.168.0.255 LEN=245 TOS=0x00 PREC=0x00 TTL=64 ID=0
>>> DF PROTO=UDP SPT=138 DPT=138 LEN=225
>>>
>>> J'ai mis cette règle ci :
>>> ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
>>> OUT= MAC= SRC=192.168.0.2 DST=192.168.0.255 LEN=[0-9]+ TOS=0x00
>>> PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$
>>>
>> Bon enf ait ça l'air d'être bon...ça ne marchait pas car le fichier
>> n'avait pas les bons droits...
>> Si vous trouvez une façon plus élégante de réécrire l'expression
>> ci-dessus, n'hésitez pas à m'expliquer...
>
> Tu ne précises pas ce que tu veux filtrer au juste ?
>
juste les lignes citées précédemment. Ce sont des lignes qui reviennent
fréquemment ds mes logs et dont je me fiche éperdument...
Apparemment la regexp ci-dessus fait l'affaire. c'est déjà ça! :)
>
>>> Voyez vous une faute (ou plus :) ) ? je sèche...
>
> - ton expression est sans doute trop précise :
>
> au début, "^.* kernel: FW:" devrait suffire, par exemple ;
>
> - d'autres constructions TRUC=... pourraient être plus génériques, etc.
> Il faudrait davantage d'exemples pour voir tout ce qui peut varier.
>
> Par exemple, pour le bruit de fond des « ports maudits »,
>
> ^.* kernel: FW:.* SPT=(13[5789]|445) ...(avec ou sans DPT idem)
>
> et essaie de voir avec grep si tu as des faux positifs, ou des trucs qui
> t'intéressent pour déboguer samba.
>
ok. je vais faire ça.
Merci pour tes conseils!
Guillaume
>>> Merci d'avance
>
> de rien,
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
