Hallo, ich verwende logcheck, um meine logfiles zu überprüfen. Wenn ich das richtig verstehe, werden die Einträge in den Dateien im Verzeichnis /etc/logcheck/ignore.d.workstation wie Regular Expressions behandelt. Dann müßte es doch eigentlich möglich sein, einen Eintrag durch einen anderen zu ersetzen, zumindestens in der verschickten Email.
Ich bekomme folgende Einträge: Sep 9 19:20:56 home portsentry[10048]: attackalert: Connect from host: +204.152.186.58/204.152.186.58 to TCP port: 1080 Sep 9 19:20:56 home portsentry[10048]: attackalert: Ignoring TCP response per configuration file setting. Sep 9 19:21:00 home portsentry[10048]: attackalert: Connect from host: +204.152.186.58/204.152.186.58 to TCP port: 1080 Sep 9 19:21:00 home portsentry[10048]: attackalert: Host: 204.152.186.58 is already blocked. Ignoring Ich möchte aus diesen mit Port, Protolkoll und Port identischen Einträgen (und den folgenden identischen) einen einzigen generieren, der dann stattdessen gemailt wird, der Art: Sep 9 19:20:56 home portsentry[10048]: attackalert: Connect from host: +204.152.186.58/204.152.186.58 to TCP port: 1080 -> ignored Funktioniert das so, wie ich es mir vorstelle? Wie? Ich habe zwar schon mal was mit regexpr gemacht (in Perl), aber das übersteigt meine Möglichkeiten. Gruß Uli -- 'The box said, 'Requires Windows 95 or better', so i installed Linux - TKK 5 -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)