linux.debian.user.french

giggz a écrit, dimanche 6 avril 2008, à 14:57 :
> giggz a écrit :
> > Bonjour,

bonjour.

> > Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je
> > sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.
> >
> > Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
> > je définisse des nouvelles règles. Et con que je me mette à apprendre
> > les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
> > je lis http://www.expreg.com)

Pourquoi pas, si tu veux l'utiliser en PHP... (toutefois, dans la
présentation il est dit qu' « on peut tout faire avec une expression
régulière » : non ! (une regex correspond à un automate *fini* (on ne
peut pas faire de l'arithmétique avec (comme compter des parenthèses
(imbriquées (à un niveau quelconque)))))).

D'après man 7 regex,
,----
| BOGUES
| Avoir deux sortes d'ER est un calvaire.
|
`----

La malédiction de Babel a frappé nettement plus de deux fois :/

D'après les dépendances du paquet logcheck (grep), il semblerait qu'il
utilise grep --- vérifie la doc, tu pourras sans doute faire tes essais
avec grep -E regex tes_logs.


> > Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :
> >
> > Apr 6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
> > SRC=192.168.0.2 DST=192.168.0.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0
> > DF PROTO=UDP SPT=137 DPT=137 LEN=58
> > Apr 6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
> > SRC=192.168.0.2 DST=192.168.0.255 LEN=245 TOS=0x00 PREC=0x00 TTL=64 ID=0
> > DF PROTO=UDP SPT=138 DPT=138 LEN=225
> >
> > J'ai mis cette règle ci :
> > ^\w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
> > OUT= MAC= SRC=192.168.0.2 DST=192.168.0.255 LEN=[0-9]+ TOS=0x00
> > PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$
> >
>
> Bon enf ait ça l'air d'être bon...ça ne marchait pas car le fichier
> n'avait pas les bons droits...
> Si vous trouvez une façon plus élégante de réécrire l'expression
> ci-dessus, n'hésitez pas à m'expliquer...

Tu ne précises pas ce que tu veux filtrer au juste ?


> > Voyez vous une faute (ou plus :) ) ? je sèche...

- ton expression est sans doute trop précise :

au début, "^.* kernel: FW:" devrait suffire, par exemple ;

- d'autres constructions TRUC=... pourraient être plus génériques, etc.
Il faudrait davantage d'exemples pour voir tout ce qui peut varier.

Par exemple, pour le bruit de fond des « ports maudits »,

^.* kernel: FW:.* SPT=(13[5789]|445) ...(avec ou sans DPT idem)

et essaie de voir avec grep si tu as des faux positifs, ou des trucs qui
t'intéressent pour déboguer samba.

> > Merci d'avance

de rien,
--
Jacques L'helgoualc'h

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org