1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.FRENCH

  • Logcheck et format de date

    From David BERCOT@21:1/5 to All on Mon Nov 7 15:40:02 2022
    Bonjour,

    J'utilise Logcheck sur plusieurs systèmes et je me suis rendu compte que
    tous les logs remontaient (malgré les filtres "standards").
    En fait, il semblerait que ceci soit lié au format de la date dans mes logs. Ainsi, ces derniers sont écrits sous la forme suivante : "2022-11-07T14:02:20.160314+01:00 mamachine event[4999]:"
    Or, les expressions régulières visant à filtrer une partie des logs commencent par :
    "^\w{3} [ :0-9]{11}"
    Logcheck s'attend donc à trouver des dates sous la forme :
    "Oct 8 23:59:33"

    Je peux bien sûr faire des règles personnalisées avec les bonnes
    expressions régulières mais cela m'empêche de reprendre les règles présentes dans "server" et "workstation".

    Auriez-vous une piste de résolution ?

    Merci d'avance.

    David.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Francois Mescam@21:1/5 to All on Mon Nov 7 17:40:02 2022
    Il y a une option de rsyslog qui joue la-dessus :
    # Use traditional timestamp format.
    # To enable high precision timestamps, comment out the following line.
    #
    $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

    Il me semble que récemment sa valeur par défaut a changé ce qui
    expliquerait ton problème.

    Francois Mescam

    Le 07/11/2022 à 15:32, David BERCOT a écrit :
    Bonjour,

    J'utilise Logcheck sur plusieurs systèmes et je me suis rendu compte que tous les logs remontaient (malgré les filtres "standards").
    En fait, il semblerait que ceci soit lié au format de la date dans mes
    logs.
    Ainsi, ces derniers sont écrits sous la forme suivante : "2022-11-07T14:02:20.160314+01:00 mamachine event[4999]:"
    Or, les expressions régulières visant à filtrer une partie des logs commencent par :
    "^\w{3} [ :0-9]{11}"
    Logcheck s'attend donc à trouver des dates sous la forme :
    "Oct  8 23:59:33"

    Je peux bien sûr faire des règles personnalisées avec les bonnes expressions régulières mais cela m'empêche de reprendre les règles présentes dans "server" et "workstation".

    Auriez-vous une piste de résolution ?

    Merci d'avance.

    David.


    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From David BERCOT@21:1/5 to All on Mon Nov 7 18:20:01 2022
    Merci François. C'est exactement ça !

    Bonne soirée.

    David.

    Le 07/11/2022 à 17:22, Francois Mescam a écrit :
    Il y a une option de rsyslog qui joue la-dessus :
    # Use traditional timestamp format.
    # To enable high precision timestamps, comment out the following line.
    #
    $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

    Il me semble que récemment sa valeur par défaut a changé ce qui expliquerait ton problème.

    Francois Mescam

    Le 07/11/2022 à 15:32, David BERCOT a écrit :
    Bonjour,

    J'utilise Logcheck sur plusieurs systèmes et je me suis rendu compte que
    tous les logs remontaient (malgré les filtres "standards").
    En fait, il semblerait que ceci soit lié au format de la date dans mes
    logs.
    Ainsi, ces derniers sont écrits sous la forme suivante :
    "2022-11-07T14:02:20.160314+01:00 mamachine event[4999]:"
    Or, les expressions régulières visant à filtrer une partie des logs
    commencent par :
    "^\w{3} [ :0-9]{11}"
    Logcheck s'attend donc à trouver des dates sous la forme :
    "Oct  8 23:59:33"

    Je peux bien sûr faire des règles personnalisées avec les bonnes
    expressions régulières mais cela m'empêche de reprendre les règles
    présentes dans "server" et "workstation".

    Auriez-vous une piste de résolution ?

    Merci d'avance.

    David.

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From =?UTF-8?Q?S=C3=A9bastien_Dinot?=@21:1/5 to All on Mon Nov 7 23:10:01 2022
    Le 2022-11-07 17:22, Francois Mescam a écrit :
    Il y a une option de rsyslog qui joue la-dessus :
    # Use traditional timestamp format.
    # To enable high precision timestamps, comment out the following line.
    #
    $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

    Il me semble que récemment sa valeur par défaut a changé ce qui expliquerait ton problème.

    Merci beaucoup pour l'info François, je rencontrais le même problème que David et je n'avais pas encore eu le temps d'investiguer.

    Au passage, pendant quelques jours, rsyslog nous a fait une autre blague
    qui a rendu les règles de logcheck inopérantes : le nom d'hôte a été temporairement remplacé dans les logs par la chaine « [localhost] » (les règles ne prévoient de crochets à cet endroit).

    Sébastien


    --
    Sébastien Dinot
    Ne goutez pas au logiciel libre, vous ne pourriez plus vous en passer ! https://www.palabritudes.net/

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)