Logwatch Linux - ignore pattern

mahescho · September 7, 2020, 6:31am

Hallo,

ich nutze die standard Logwatch-Patterns und möchte folgenden Eintrag im Syslog ausschliessen:

Sep 7 05:00:24 192.168.178.170 s_local@DECT-01 root: css_observer: dump CSS after panic: 1

Da steht zwar “panic” das ist aber nicht so gemeint Folgendes habe ich als ersten Eintrag ohne Erfolg getestet:

/var/log/syslog /var/log/kern.log overflow=C
 I css_observer: dump CSS after panic

/var/log/syslog /var/log/kern.log overflow=C
 I .*css_observer: dump CSS after panic.*

Was muss ich eintragen, dass diese Einträge ignoriert werden?

TIA
Matthias

Dirk · September 7, 2020, 7:38am

Ich habe mal versucht, das nachzustellen. Dazu habe ich eine Dummy-Logdatei (direkt im Plugin-Verzeichnis, weil ich faul war) angelegt:

/usr/lib/check_mk_agent/plugins/syslog

Sep 7 05:00:24 192.168.178.170 s_local@DECT-01 root: css_observer: dump CSS after panic: 1
Sep 7 05:00:25 192.168.178.170 s_local@DECT-01 root: css_observer: Hello

Dann eine Konfigurationsdatei (ebenfalls direkt im Plugin-Verzeichnis):

/usr/lib/check_mk_agent/plugins/logwatch.cfg 

/usr/lib/check_mk_agent/plugins/syslog overflow=C
 I css_observer: dump CSS after panic
 C panic
 O .+

Dann habe ich das Plugin mit Debug-Schaltern aufgerufen. Wenn die Variablen LOGWATCH_DIR und MK_CONFDIR nicht gesetzt sind, sucht das Plugin im aktuellen Verzeichnis nach seiner Konfigurationsdatei. Die Variablen sind nicht gesetzt, wenn man das Plugin “einfach so” (also nicht durch den checkmk-Agent) aufruft. Ich habe das so gemacht, weil ich nicht meine “Original-Konfiguration” verändern wollte. Durch den “-d”-Schalter werden übrigens keine Statusinformationen lokal gespeichert, d.h. das bringt den normalen Prozess nicht durcheinander.

root@host:/usr/lib/check_mk_agent/plugins# ./mk_logwatch -d -v
<<<logwatch>>>
INFO: Configuration file paths: ['./logwatch.cfg']
INFO: Logfiles configurations: [<__main__.LogfilesConfig object at 0x7f105cc4a290>]
INFO: Optional cluster configurations: []
[[[/usr/lib/check_mk_agent/plugins/syslog]]]
. Sep 7 05:00:24 192.168.178.170 s_local@DECT-01 root: css_observer: dump CSS after panic: 1
O Sep 7 05:00:25 192.168.178.170 s_local@DECT-01 root: css_observer: Hello

Es scheint also zu funktionieren. “Deine” Zeile würde zwar mit übertragen, aber mit einem “.” am Anfang – was soviel wie “Ignorieren” bedeutet. Ist das bei dir anders?

mahescho · September 19, 2020, 7:37am

Danke, Ursache war, dass beim Client

/var/log/syslog /var/log/kern.log overflow=C

zwei mal in der /etc/checkmk/logwatch.cfg ankommt und im ersten Eintrag

I css_observer: dump CSS after panic

fehlt. Jetzt muss ich nur noch ermitteln warum das so ist.

system · October 19, 2020, 5:37pm

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.