Logwatch Multiline Filter

Hallo zusammen,
evtl hat hier einer von euch eine Idee zu folgendem:

Ich filtere auf einem Exchange Server die Messagetracking Logs nach FAIL Events und generiere daraus
stündlich Custom Logfiles die ich mit CheckMK Agent (unter 1.6 mit dem logwatch.exe Workround) “hochwerfe”

die Log besteht aus Einträgen die wie folgt aussehen:

EventId : FAIL
Sender : mailing@userdomain.local
Timestamp : 04.05.2021 09:21:40
Recipients : xyz@abc.com
RecipientStatus : [{LED=554 5.7.105 SenderFilterAgent; Sender denied as sender's email address is
on SenderFilterConfig list};{MSG=};{FQDN=};{IP=192.168.99.99};{LRT=}]
MessageSubject : Subjectabc

Mein Filter aus der logwatch.cfg
W FAIL (oder so ähnlich)
wirft somit die Fail Zeile als Warning ins Logwatch und die Folgezeilen als Context.

Gibt es eine Möglichkeit das so zu Gruppieren das ich “Sender denied as sender’s email address” z.B. ausfiltern kann ohne einzelne Rules anlegen zu müssen?
Also in etwa: “EventId : FAIL” und die x Folgenden Zeilen gehören zusammen als ein Multiline Eintrag?

Die Idee dahinter war alle FAIL Einträge beim Nachritentransport mitzubekommen…Dadurch das sich Nutzer aber im Outlook eigene Exchange Regeln erzeugen welche die Mail dann auf dem Server Bouncen lässt müsste ich jetzt Dinge wie “SenderFilterAgent; Sender denied as sender’s email address ison SenderFilterConfig” aufiltern.

Mir ist bewusst das ich es auf Seite der Log generierung lösen könnte indem ich die Leerzeilen wegfilter und/oder durch </br> bzw \n ersetze aber vielleicht gibt es eine schönere Lösung mehrere Zeilen zusammenzufassen die ich übersehe

LG und Danke im Voraus

Jan

Hi,
leite die Log Einträge noch der ersten Filterung an die Event Console weiter. Dort kannst du gezielter Filtern, zählen und gruppieren. Hierzu gibt es auch eine Artikel in der Dokumentation.
Viele Grüße,
Christian