我想使用logcheck过滤日志文件,但是我想为我想要在收件箱中收到的规则定义规则,而不是为我想要忽略的日志消息设置规则。是否可以使用负逻辑(如egrep -v)来做某些事情?
答案 0 :(得分:0)
此正则表达式[^abc]不等于a,b或c
答案 1 :(得分:0)
我不能举很多例子,但是我相信您可以忽略所有内容,然后在violations.d或cracking.d目录中列出要标记的模式。
因此,在ignore.d.server中,删除所有文件,创建一个包含“ ^”的文件。 定义违规模式。d
您可以为此创建一个单独的配置目录,将所有/ etc / logcheck内容复制到一个新目录,编辑logcheck.conf以列出正确的RULEDIR,然后使用类似以下的命令进行测试:
sudo -u logcheck logcheck -c /tmp/logcheck/logcheck.conf -o -t