diff --git a/HowtoLogcheck.md b/HowtoLogcheck.md index 84d5e3a9..13327ea8 100644 --- a/HowtoLogcheck.md +++ b/HowtoLogcheck.md @@ -4,7 +4,7 @@ title: Howto Logcheck ... -[Logcheck](http://logcheck.org/) est un script Bash qui permet d'envoyer les logs inconnus par email. Il est lancé toutes les heures et surveille par défaut `/var/log/syslog` et `/var/log/auth.log`. C'est un complément idéal de [Log2mail](HowtoLog2mail) car il va détecter des nouveaux termes dans les logs, que l'on considèrera comme normaux (on les ajoutera alors à la liste des termes connus) ou anormaux (que l'on ajoutera à _Log2mail_ pour avoir une alerte immédiate). +[Logcheck](http://logcheck.org/) est un script Bash qui permet d'envoyer par email les logs inconnus par email. Il est lancé toutes les heures et surveille par défaut `/var/log/syslog` et `/var/log/auth.log`. C'est un complément idéal de [Log2mail](HowtoLog2mail) car il va détecter de nouveaux termes dans les logs, que l'on considèrera comme normaux (on les ajoutera alors à la liste des termes connus) ou anormaux (que l'on ajoutera à _Log2mail_ pour avoir une alerte immédiate). ## Installation @@ -106,6 +106,10 @@ $ echo "Oct 8 23:59:33 foo sshd[24123]: Received disconnect from 192.0.2.51: 11 ## FAQ -### Comment apprendre les expressions +### Comment apprendre les expressions régulières pour écrire de nouvelles règles ? -On peut aussi faire un petit tour sur rubular.com \ No newline at end of file +Le plus simple est de repartir des règles existantes, et de s'aider de la nombreuse documentation existante comme le site . + +### Je ne reçois pas certains emails envoyés par Logcheck ? + +Quand beaucoup de logs anormaux sont générés, il est possible que l'email envoyé dépasse la taille autorisé par votre MTA (sous Postfix, c'est 10 Mo par défaut).