Top過去ログ目次掲示板

作成日:2004年01月10日 作成:おやじ
掲示板で過去に質問された内容です。

No.2351 swatchで通知メールの件名をマッチした行にするには?

No.2351 投稿時間:2004年01月10日(Sat) 23:33 投稿者名:MKaori URL:
タイトル:swatchで通知メールの件名をマッチした行にするには?

Redhat9でswatch-3.0.1-3を使用しています。

# grep -v ^# /etc/swatch/swatchrc
watchfor /Authentication failed/
mail=hoge,subject=$0
watchfor /INVALID|REPEATED|INCOMPLETE/
mail=hoge,subject=$0
watchfor /(panic|halt)/
mail=hoge,subject=$0
watchfor /err/
mail=hoge,subject=$0
watchfor /denied/
mail=hoge,subject=$0
watchfor /fail/
mail=hoge,subject=$0
watchfor /warning/
mail=hoge,subject=$0
watchfor /(INVALID|Invalid|invalid)/
mail=hoge,subject=$0
watchfor /Warn/
mail=hoge,subject=$0
watchfor /(FAIL|Fail|fail)/
mail=hoge,subject=$0
watchfor /refuse/
mail=hoge,subject=$0
watchfor /3 more authentication failures/
echo
mail==hoge,subject=swatch_login_log

watchfor /sshd.*reject/
write root
mail=hoge,subject=$0,subject=swatch_sshd_log

watchfor /ftpd.*authentication failure/
echo
mail=hoge,subject=$0,subject=swatch_ftpd_log

watchfor /(null connection|eof received)/
mail=hoge,subject=$0,subject=swatch_portScan_log

watchfor /Bogus PPPoE length field/
exec=/etc/hoge.sh
mail=hoge,subject=$0
# /etc/rc.d/init.d/swatch.sh
Srarting Swatch(root) #
*** swatch-3.0.1 (pid:5355) started at 2003年 12月 20日 土曜日 14:02:36 JST
*** swatch-3.0.1 (pid:5352) started at 2003年 12月 20日 土曜日 14:02:36 JST
*** swatch-3.0.1 (pid:5344) started at 2003年 12月 20日 土曜日 14:02:36 JST
*** swatch-3.0.1 (pid:5354) started at 2003年 12月 20日 土曜日 14:02:36 JST
*** swatch-3.0.1 (pid:5349) started at 2003年 12月 20日 土曜日 14:02:37 JST
# ps ax | grep swatch
5344 pts/1 S 0:00 perl /usr/bin/swatch -c /etc/swatch/swatchrc -t
/var/log/messages
5349 pts/1 S 0:00 perl /usr/bin/swatch -c /etc/swatch/swatchrc -t
/var/log/maillog
5352 pts/1 S 0:00 perl /usr/bin/swatch -c /etc/swatch/swatchrc -t
/var/log/vsftpd.log
5354 pts/1 S 0:00 perl /usr/bin/swatch -c /etc/swatch/swatchrc -t
/var/log/secure
5355 pts/1 S 0:00 perl /usr/bin/swatch -c /etc/swatch/swatchrc -t
/var/log/cron
5382 pts/1 S 0:00 perl /root/.swatch_script.5344
5384 pts/1 S 0:00 perl /root/.swatch_script.5352
5385 pts/1 S 0:00 perl /root/.swatch_script.5355
5387 pts/1 S 0:00 perl /root/.swatch_script.5354
5389 pts/1 S 0:00 perl /root/.swatch_script.5349


としてswatchを実行していますがメールのサブジェクトが
「/root/.swatch_script.18310」となってしまいます。
サブジェクトを
「Dec 21 00:40:03 qq ntpd[28172]: bind() fd 9, family 2, port 123, addr
224.0.1.1, in_classd=1 flags=0 fails: Address already in use」
という風にマッチした行にしたいのですがそれにはどうすればいいのでしょうか?

No.2354 投稿時間:2004年01月11日(Sun) 18:15 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:改造するしかないのでは?

こんばんは。

> としてswatchを実行していますがメールのサブジェクトが
> 「/root/.swatch_script.18310」となってしまいます。
> サブジェクトを
> 「Dec 21 00:40:03 qq ntpd[28172]: bind() fd 9, family 2, port 123, addr
> 224.0.1.1, in_classd=1 flags=0 fails: Address already in use」
> という風にマッチした行にしたいのですがそれにはどうすればいいのでしょうか?

 えらい長い件名になると思いますが、$0で持ってこれる例があったのでしょうか?
何となく、改造するしかないのではないのではでしょうか? perlなのでできませんか?

No.2356 投稿時間:2004年01月11日(Sun) 22:47 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:おやじも好きですね〜。できました。

こんばんは。

> # grep -v ^# /etc/swatch/swatchrc
> watchfor /Authentication failed/
>   mail=hoge,subject=$0

  mail=hoge,subject=$_
                      ^^
で、いけます。

No.2359 投稿時間:2004年01月12日(Mon) 21:03 投稿者名:MKaori URL:
タイトル:Re: おやじも好きですね〜。できました。

>  えらい長い件名になると思いますが、$0で持ってこれる例があったのでしょうか?
RedHat9サーバ構築の書籍のswatch欄で
「exec=<command>
の公式として<command>として$0または$"を記述するとマッチした行全体に置き換えられる」

という説明が有りまして、subjectの右辺値として使えるのではと思っていました。

>> mail=hoge,subject=$0
>   mail=hoge,subject=$_
> ^^
> で、いけます。
ありがとうございます。これでいけました。


掲示板▲頁先頭