RE: Logcheck et expression régulière

r de véritables alertes. Pour info, je me suis rendu compte que tout ne fonctionnait pas comme je le voulais tout simplement parce que j'avais créé un lien logique entre le répertoire /etc/logcheck/ignore.d.server/ et mon fichier de règles stocké dans mon répertoire d'installation

Re: Logcheck et expression régulière

rules <^\w{3,4}\.? [ :[:digit:]]{10,11} [-._[:alnum:]]+ systemd\[[[:digit:]]+\]: .*$ EOF Puis je vérifie quels messages sont capturés par mes (enfin, ici, ma) règles : $ logcheck-test -l /tmp/log -r /tmp/rules Jan. 1 22:08:01 debian systemd[1]: Starting user@0.service - User Manager for UI

RE: Logcheck et expression régulière

ne De : Basile Starynkevitch Envoyé : jeudi 2 janvier 2025 à 10:34 UTC+1 Pour : David BERCOT , Debian-user-French Sujet : RE: Logcheck et expression régulière On Thu, 2025-01-02 at 09:09 +0100, David BERCOT wrote: Bonjour, Tout d'abord, meilleurs voeux à tous pour 2025 ! Ensuite, je

Re: Logcheck et expression régulière

Le 2 janvier 2025 David BERCOT a écrit : > Ensuite, je m'arrache les cheveux depuis plusieurs jours avec Logcheck. > J'essaye d'enlever un certain nombre de lignes qui ne m'intéressent pas mais > je n'arrive pas à trouver la bonne expression régulière. [...]

Re: Logcheck et expression régulière

On Thu, 2025-01-02 at 09:09 +0100, David BERCOT wrote: > Bonjour, > > Tout d'abord, meilleurs voeux à tous pour 2025 ! > > Ensuite, je m'arrache les cheveux depuis plusieurs jours avec > Logcheck. > J'essaye d'enlever un certain nombre de lignes qui ne m

Logcheck et expression régulière

Bonjour, Tout d'abord, meilleurs voeux à tous pour 2025 ! Ensuite, je m'arrache les cheveux depuis plusieurs jours avec Logcheck. J'essaye d'enlever un certain nombre de lignes qui ne m'intéressent pas mais je n'arrive pas à trouver la bonne expression réguliè

Re: Logcheck et format de date

u les règles de logcheck inopérantes : le nom d'hôte a été temporairement remplacé dans les logs par la chaine « [localhost] » (les règles ne prévoient de crochets à cet endroit). Sébastien -- Sébastien Dinot Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer ! https://www.palabritudes.net/

Re: Logcheck et format de date

plate RSYSLOG_TraditionalFileFormat Il me semble que récemment sa valeur par défaut a changé ce qui expliquerait ton problème. Francois Mescam Le 07/11/2022 à 15:32, David BERCOT a écrit : Bonjour, J'utilise Logcheck sur plusieurs systèmes et je me suis rendu compte que tous les logs r

Re: Logcheck et format de date

ton problème. Francois Mescam Le 07/11/2022 à 15:32, David BERCOT a écrit : Bonjour, J'utilise Logcheck sur plusieurs systèmes et je me suis rendu compte que tous les logs remontaient (malgré les filtres "standards"). En fait, il semblerait que ceci soit lié au format de la date

Logcheck et format de date

Bonjour, J'utilise Logcheck sur plusieurs systèmes et je me suis rendu compte que tous les logs remontaient (malgré les filtres "standards"). En fait, il semblerait que ceci soit lié au format de la date dans mes logs. Ainsi, ces derniers sont écrits sous la forme suivante : &q

erreur logcheck (opendkim)

bonjour, j'ai opendkim qui fonctionne et pourtant avec logcheck: Sep 18 09:02:03 brotsch postfix/cleanup[11021]: warning: connect to Milter service unix:/var/run/opendkim/opendkim.sock: Permission denied service opendkim status : ● opendkim.service - OpenDKIM DomainKeys Identified Mail

Re: Pollution de message envoyé par logcheck

Le 12-03-2011, à 22:47:09 +0100, mouss (mo...@ml.netoyen.net) a écrit : > Le 09/03/2011 10:21, steve a écrit : > > Salut la liste, > > > > Toutes les heures je reçois des messages de logcheck, et en particulier > > certains contenant : > > > > 127.0.0.

Re: Pollution de message envoyé par logcheck

Le 09/03/2011 10:21, steve a écrit : > Salut la liste, > > Toutes les heures je reçois des messages de logcheck, et en particulier > certains contenant : > > 127.0.0.1 - - [09/Mar/2011:09:05:01 +0100] "GET /server-status?auto > HTTP/1.1" 200 607 "-" &q

Re: Pollution de message envoyé par logcheck

Le 09-03-2011, à 13:02:23 +0100, Julien Valroff (jul...@kirya.net) a écrit : > Salut, > > steve a écrit : > > > Salut la liste, > > > > Toutes les heures je reçois des messages de logcheck, et en > > particulier certains contenant : > [...] > > q

Re: Pollution de message envoyé par logcheck

Salut, steve a écrit : > Salut la liste, > > Toutes les heures je reçois des messages de logcheck, et en > particulier > certains contenant : [...] > qui ne m'apportent pas grand chose. Ces lignes proviennent du fichier > /var/log/apache2/access.log que j'ai d

Re: Pollution de message envoyé par logcheck

Le Wed, 9 Mar 2011 10:21:50 +0100, steve a écrit : > apt-cache rdepends libwww-perl bonjour, serait il possible de réaliser un script avec une boucle et tu obtiendra la bonne réponse for pkg in `apt-cache rdepends libwww-perl |awk '{print $1}' |xargs` do

Re: Pollution de message envoyé par logcheck

> (En passant, comment puis-je lister tous les paquets installés qui > dépendent de libwww-perl ? > > apt-cache rdepends libwww-perl > > liste tous les paquets qui dépendent de libwww-perl (installés et non > installés).) Cette partie est à oublier, je n'avais pas vu l'option --installed... dés

Pollution de message envoyé par logcheck

Salut la liste, Toutes les heures je reçois des messages de logcheck, et en particulier certains contenant : 127.0.0.1 - - [09/Mar/2011:09:05:01 +0100] "GET /server-status?auto HTTP/1.1" 200 607 "-" "libwww-perl/5.836" 127.0.0.1 - - [09/Mar/2011:09:05:01 +0100] &qu

Re: ocsinventory + ModSecurity + logcheck

Le vendredi 20 août 2010 à 10:38 +0200, Jean-Paul Lacharme a écrit : > . > > > Agir au niveau de logcheck > > > > C'est la solution la plus aisée, que je qualifierais de "temporaire", en > > attendant > > la correction d'oscinven

Re: ocsinventory + ModSecurity + logcheck

> > Agir au niveau de logcheck > > C'est la solution la plus aisée, que je qualifierais de "temporaire", en > attendant > la correction d'oscinventory-agent. > > > /etc/logcheck/ignore.d.server/ ou > > /etc/logcheck/violations.ignore

Re: ocsinventory + ModSecurity + logcheck

Bonjour, Le jeudi 19 août 2010 à 09:04:17 (+0200), Jean-Paul Lacharme a écrit : > Date: Thu, 19 Aug 2010 09:04:17 +0200 > From: Jean-Paul Lacharme > To: debian-user-french@lists.debian.org > Subject: ocsinventory + ModSecurity + logcheck > Le problème est qu'ocsinventory

ocsinventory + ModSecurity + logcheck

Bonjour, Je fais tourner ocsinventory+GLPI sur un petit serveur web (debian lenny). Ceci fonctionne parfaitement. Ce serveur web est notamment protégé par le firewall web ModSecurity. Ceci fonctionne très bien. Je fais me remonter certains log par mail à l'aide de logcheck. Logcheck est b

Logcheck - Swatch

Bonsoir, J'étais en train de regarder du côté de swatch pour mettre en place des expression régulières afin de l'interfacer avec psad, quand je suis tombé sur le fil sur logcheck. Alors suivant les informations fournies par apt, il semble que logcheck renvoie ces résultats par email

Re: [HS] Pb de config de règle logcheck ( regexp)

rmi vous qui pourront m'aider je poste ici. >>> >>> Je viens d'installer logcheck. Le problème est qu'il faut maintenant que >>> je définisse des nouvelles règles. Et con que je me mette à apprendre >>> les regexp. Si vous avez de bons liens je suis

Re: [HS] Pb de config de r ègle logcheck (regexp)

giggz a écrit, dimanche 6 avril 2008, à 14:57 : > giggz a écrit : > > Bonjour, bonjour. > > Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je > > sais qu'ils y en a parmi vous qui pourront m'aider je poste ici. > > > > Je viens

Re: [HS] Pb de config de règle logcheck ( regexp)

giggz a écrit : > Bonjour, > > Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je > sais qu'ils y en a parmi vous qui pourront m'aider je poste ici. > > Je viens d'installer logcheck. Le problème est qu'il faut maintenant que > je défi

[HS] Pb de config de règle logcheck (rege xp)

Bonjour, Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je sais qu'ils y en a parmi vous qui pourront m'aider je poste ici. Je viens d'installer logcheck. Le problème est qu'il faut maintenant que je définisse des nouvelles règles. Et con que je me m

Re: Log (root) LIST (nobody) de logcheck

e-isé sans succès, j'ai regardé dan man crontab et je n'ai rien > trouvé. [...] C'est chkrootkit qui vérifie que l'utilisateur nobody n'a pas de tâches enregistrées dans son cron. cf ligne 1581 de /usr/sbin/chkrootkit > Est-il sans intérêt ? Est-ce un message d'

Log (root) LIST (nobody) de logcheck

Salut la liste, Depuis mon passage à Etch j'ai ce message qui revient dans mes logs (et donc dans mes mails) : Apr 15 06:25:06 localhost /usr/bin/crontab[21834]: (root) LIST (nobody) J'ai google-isé sans succès, j'ai regardé dan man crontab et je n'ai rien trouvé. Les messages proches ne m'ins

Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

Le Mercredi 17 Janvier 2007 17:58, [EMAIL PROTECTED] a écrit : > Personnellement c'est aussi une installation local (1 seul post) que > j'aurais à faire, > je ne sais pas si je peux te demandé un petit morceau de log (histoire > de voir si il est aussi performant qu'il en a l'aire) > avec les sorte

Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

Personnellement c'est aussi une installation local (1 seul post) que j'aurais à faire, je ne sais pas si je peux te demandé un petit morceau de log (histoire de voir si il est aussi performant qu'il en a l'aire) avec les sortes d'attaque et les parades qu'il a intreprit (que tu as paramétré) (si

Re: question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

Le Mercredi 17 Janvier 2007 03:37, [EMAIL PROTECTED] a écrit : > mais j'ai eu un très bonne avis sur > http://www.ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et > celui ci maintenant) Un petit retour... L'installation (type local) un bonheur !!! :) D'ailleurs je viens de recevoir un

Re: RE : question IDS (detection d'intrusion) et autre logcheck? (SNORT et OSSEC HIDS? votre avis)

ossec.net/fr/manual.html OSSEC HIDS (j'hésite entre SNORT et celui ci maintenant) http://www.linux.ie/articles/portsentryandsnortcompared.php après la lecture, j'ai complètement laché l'idée portsentry... et si je par sur OSSEC HIDS, logcheck serait totalement inutile. Pitshou Asin

RE : question IDS (detection d'intrusion) et autre logcheck?

bonjour comme IDS je te propose snort car la plupart des IDS commerciaux sont basés sur lui.Et il faut dire qu'une bonne communauté l'utilise donc plusieurs solutions ont été mise en place. Tu peux le combiner avec plusieurs outils pour une administration facilitée. Pour logc

question IDS (detection d'intrusion) et autre logcheck?

visible de l'extérieur)) je vous remerci d'avance, personnellement j'été parti sur un sentrytools (pour la déctection des ports scan et l'ajout de régle pour bloquer) et un logcheck (pour qu'en cas de problème je sois averti). -- Lisez la FAQ de la liste avant de poser un

Re: Logcheck

Sébastien Kirche a écrit : At 20:51 on jan 8 2007, Frédéric ZULIAN said : Warning: If you are seeing this message, your log files may not have been checked! Details: Failed to get lockfile: /var/lock/logcheck/logcheck.lock Une idée ? Est-ce que le path existe ? Si oui, y a-t-il un

Re: Logcheck

At 20:51 on jan 8 2007, Frédéric ZULIAN said : > Warning: If you are seeing this message, your log files may not have > been checked! Details: Failed to get lockfile: > /var/lock/logcheck/logcheck.lock > > Une idée ? Est-ce que le path existe ? Si oui, y a-t-il un fichier logche

Logcheck

Bonjour, Sur une Debian Sparc stable, logcheck a quelques difficultés : Logcheck: ultra 2007-01-08 20:02 exiting due to errors Warning: If you are seeing this message, your log files may not have been checked! Details: Failed to get lockfile: /var/lock/logcheck/logcheck.lock Une idée

Re: Probleme utilisation logcheck

Le Monday 9 October 2006 22:53, Sil ("Sil " <[EMAIL PROTECTED]>) a écrit: Salut, > > Mais la meilleure de façon de faire est : > > ^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ fetchmail\[[0-9]+\]: > > [0-9]+ messages pour maboite dans pop\.club-internet\.fr > > \([0-9]+ octets\)$ > > Je veux bien ap

Re: Probleme utilisation logcheck

Le mercredi 4 octobre 2006 20:43, Glennie Vignarajah a écrit : > Cette règle ne correspond pas à la ligne du log, je pense... > > Essayez : > fetchmail\[[0-9]+\]: [0-9]+ messages Autant pour moi c'était une erreur de frappe. Merci en tout cas ça marche de nouveau. > Mais la meilleure de façon de f

Re: Probleme utilisation logcheck

Le Wednesday 4 October 2006 16:43, Sil ("Sil " <[EMAIL PROTECTED]>) a écrit: > Bonjour la liste, Bonsoir > System Events > =-=-=-=-=-=-= > Oct 4 15:25:16 localhost fetchmail[14131]: 2 messages pour > maboite dans pop.club-internet.fr (18723 octets). > Oct 4 15:46:15 localhost fetchmail[14131]

Probleme utilisation logcheck

Bonjour la liste, Depuis à peu près 1 semaine, j'ai des mails en trop qui arrivent sur ma boite. Ce sont des mail Logcheck pour fetchmail : System Events =-=-=-=-=-=-= Oct 4 15:25:16 localhost fetchmail[14131]: 2 messages pour maboite dans pop.club-internet.fr (18723 octets). Oct 4

logcheck squid

Bonjour, Depuis quelque temps j'ai des logs bizarres signalé par logcheck avec squid : May 1 13:37:12 artifice squid[4491]: WARNING: suspicious CR characters in HTTP header {Accept_Encoding: gzip,deflate^M^HUser_Agent: Mozilla/4.0 (compatible; MSIE 6.0; WINDOWS 2000)} et May 1 13:

Règles logcheck non prises en compte

Bonjour, J'ai récemment installé logcheck sur 2 de mes serveurs, et *certaines* de mes règles locales sont ignorées, et je reçois donc tout de même le message d'alerte. Pour citer un exemple, j'ai la règle suivante dans /etc/logcheck/ignore.d.server/local-upsmon (qui a les bons dr

[Résolu] Re: logcheck, spamd, pyzor and Co

Le Vendredi, 3 Février 2006 18.55, Frédéric ZULIAN a écrit : > Le Fri, Feb 03, 2006 at 05:31:52PM +0100, steve écrivait : > > Bonjour, > > > > je reçois chaque heure un mail de logcheck dont voici un extrait : > > > > > > Feb 3 16:02:09 XXX spamd[6440]:

Re: logcheck, spamd, pyzor and Co

Le Fri, Feb 03, 2006 at 05:31:52PM +0100, steve écrivait : > Bonjour, > > je reçois chaque heure un mail de logcheck dont voici un extrait : > > > Feb 3 16:02:09 XXX spamd[6440]: config: failed to parse line, skipping: > use_razor2 1 > Feb 3 16:02:09

logcheck, spamd, pyzor and Co

Bonjour, je reçois chaque heure un mail de logcheck dont voici un extrait : Feb 3 16:02:09 XXX spamd[6440]: config: failed to parse line, skipping: use_razor2 1 Feb 3 16:02:09 XXX spamd[6440]: config: failed to parse line, skipping: use_dcc 1 Feb 3 16:02:09 XXX

Re: rapport logcheck HS

bonjour, Le mardi 04 octobre 2005, Philippe AMIOT a écrit... > su -s /bin/bash -c "/usr/sbin/logcheck -d" logcheck Essaie de le lancer avec strace. strace permet généralement de voir où ça bloque. -- jm -- Pensez à lire la FAQ de la liste avant de poser une qu

Re: rapport logcheck HS

Glennie Vignarajah a écrit : Le Monday 3 October 2005 23:11, Philippe AMIOT(Philippe AMIOT <[EMAIL PROTECTED]>) disait: Bonsoir ou Bonjour Salut, /var/lock/logcheck/logcheck.lock D: [1128373096] Error: Could not run logtail or save output D: [1128373096] Cleanup: Removing

Re: rapport logcheck HS

Le Monday 3 October 2005 23:11, Philippe AMIOT(Philippe AMIOT <[EMAIL PROTECTED]>) disait: > Bonsoir ou Bonjour Salut, > /var/lock/logcheck/logcheck.lock D: [1128373096] Error: Could not > run logtail or save output D: [1128373096] Cleanup: Removing - > /tmp/logcheck.5Yz2

Re: rapport logcheck HS

Bonjour, Philippe AMIOT wrote: Bonjour, J'utilise logcheck et j'ai un problème que je n'arrive pas a compendre ! Il m'envois comme rapport apres chaque lancement : ---

Re: rapport logcheck HS

Bonsoir ou Bonjour Merci Glennie de ton aide mais le mode debug ne m'apprend rien de plus ! Enfin cela n'engage que moi, ci dessous un extrait du log produit par ce mode debug su -s /bin/bash -c "/usr/sbin/logcheck -d" logcheck D: [1128373094] Turning debug mode on D: [

Re: rapport logcheck HS

Le Monday 3 October 2005 13:45, Philippe AMIOT(Philippe AMIOT <[EMAIL PROTECTED]>) disait: > Bonjour, Bonsoir, > > J'utilise logcheck et j'ai un problème que je n'arrive pas a > compendre ! > > Details: > Could not run logtail or save output Je p

rapport logcheck HS

Bonjour, J'utilise logcheck et j'ai un problème que je n'arrive pas a compendre ! Il m'envois comme rapport apres chaque lancement : --- Warning: If you are seeing this mes

Re: problème avec logcheck

Le Tuesday 16 August 2005 13:26, Philippe AMIOT(Philippe AMIOT <[EMAIL PROTECTED]>) disait: Bonsoir, > /etc/logcheck/ignore.d.paranoid/tripwire D: [1124191007] logoutput > called with file: /var/log/syslog D: [1124191007] Running logtail: > /var/log/syslog > D: [11241910

Re: problème avec logcheck

Glennie Vignarajah a écrit : Le Tuesday 16 August 2005 10:02, Philippe AMIOT(Philippe AMIOT <[EMAIL PROTECTED]>) disait: Bonjour, Bonjour, J'ai installé logcheck sur mon poste, il est executer toute les heures mais voila, cela n'a pas l'air de marcher p

Re: problème avec logcheck

Le Tuesday 16 August 2005 10:02, Philippe AMIOT(Philippe AMIOT <[EMAIL PROTECTED]>) disait: > Bonjour, Bonjour, > > J'ai installé logcheck sur mon poste, il est executer toute les > heures mais voila, cela n'a pas l'air de marcher pour une raison > qui me d

problème avec logcheck

Warning: If you are seeing this message, your log files may not have been checked! Bonjour, J'ai installé logcheck sur mon poste, il est executer toute les heures mais voila, cela n'a pas l'air de marcher pour une raison qui me dépasse ! Voici une copie du mail qui m

Re: Decripter les mails de logcheck

> seulement bavard, c'est peut-être parce qu'il écrit des logs en français, pas > pratique avec logcheck où les patterns à ignorer sont en anglais. Il me semble que c'est du log. C'est lié à la configuration de gconfd (dans /etc/gconfd/quelque_chose) > Si tu n&#

Re: Decripter les mails de logcheck

On Wed, 06 Oct 2004 21:43:48 +0200 Denis Bailliet <[EMAIL PROTECTED]> wrote: > Oct 6 20:12:49 localhost gdm[840]: (pam_securetty) access denied: tty > ':0' is not secure ! C'est ignoré dans ma version de logcheck: ./ignore.d.workstation/logcheck:^\w{3} [ :0-9]{11}

Decripter les mails de logcheck

Voici une partie du mail que logcheck m'a envoyé ce soir. Quelqu'un peut'il m'aiguiller sur ce qui est important et a corriger ? Je ne comprend pas ce que fait cron, il a l'a

Re: logcheck

On Wed, 07 Jul 2004 09:31:36 +0200, Sylvain wrote: > Salut à tous, > > j'ai decouvert, via la liste, logcheck, qui repond à quelques uns de mes > besoin en matiere de surveillance du systeme. voir également logwatch ... > J'aimerais connaitre votre avis sur ce soft, s

logcheck

Salut à tous, j'ai decouvert, via la liste, logcheck, qui repond à quelques uns de mes besoin en matiere de surveillance du systeme. J'aimerais connaitre votre avis sur ce soft, si vous l'avez utilisé sur des serveurs en prod. Actuellement je l'ai installé sur une W

Re: spamassassin et logcheck

Plutôt le contraire Le mer 29 jan 2003, à 07 h 25 min 25 s (UTC +0100), Alain Tesio a écrit : > Comment lances-tu logcheck ? Si c'est avec procmail tu peux filtrer > les mails de logcheck avant de lancer spamassassin. Je vais essayer ça > Sinon tu peux aussi mettre [EMAIL

Re: spamassassin et logcheck

Le mer 29 jan 2003, à 07 h 25 min 25 s (UTC +0100), Alain Tesio a écrit : > Comment lances-tu logcheck ? Si c'est avec procmail tu peux filtrer > les mails de logcheck avant de lancer spamassassin. J'ai ça ds ~/.spamassassin/user_prefs whitelist_from [EMAIL PROTECTED

Re: spamassassin et logcheck

Le mercredi 29 janvier 2003, Philippe Monroux a écrit... bonjour, > j'ai essayé automatic whitelist mais toujours pareil. > une aide ? > une idée ? > un conseil ? > une suggestion ? > un coup de main ? Ouais ! J'ai jamais réussi à faire marcher ces maudites whitelist et unblacklis

Re: spamassassin et logcheck

On Wed, 29 Jan 2003 08:27:55 +0400 Philippe Monroux <[EMAIL PROTECTED]> wrote: > > je tourne avec spamassassin et logcheck (portsentry). L'embêtant c'est > que tous (ou presque) les mails de logcheck sont considérés comme du > spam, donc je les retrouve dans ~/

spamassassin et logcheck

Bonjour, je tourne avec spamassassin et logcheck (portsentry). L'embêtant c'est que tous (ou presque) les mails de logcheck sont considérés comme du spam, donc je les retrouve dans ~/Mail/probably-spam...Ils ne sont pas perdus mais bon... j'ai essayé automatic whitelis

Re: logcheck probleme sous woody: /var/lib/logcheck/offset.var.log.debug

On Tuesday 22 Oct 2002, Manuel Segura wrote: bonjour, > Possible Security Violations > =-=-=-=-=-=-=-=-=-= > File /var/lib/logcheck/offset.var.log.debug cannot be created. Check > your permissions. > Unusual System Events > =-=-=-=-=-=-=-=-=-=-= > F

logcheck probleme sous woody: /var/lib/logcheck/offset.var.log.debug

Hello, je viens d'installer logcheck sous woody et il me renvoie un mail avec les erreurs suivantes: ... Possible Security Violations =-=-=-=-=-=-=-=-=-= File /var/lib/logcheck/offset.var.log.debug cannot be created. Check your permis