[HS] Pb de config de règle logcheck (regexp)

Le
giggz
Bonjour,

Désolé pour le hors sujet. Je ne sais po trop où posteret comme je
sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.

Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
je définisse des nouvelles règles. Et con que je me mette à apprendre
les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
je lis http://www.expreg.com)

Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :

Apr 6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
SRC2.168.0.2 DST2.168.0.255 LENx TOS=0x00 PREC=0x00 TTLd ID=0
DF PROTO=UDP SPT7 DPT7 LENX
Apr 6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC=
SRC2.168.0.2 DST2.168.0.255 LEN$5 TOS=0x00 PREC=0x00 TTLd ID=0
DF PROTO=UDP SPT8 DPT8 LEN"5

J'ai mis cette règle ci :
^w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
OUT= MAC= SRC2.168.0.2 DST2.168.0.255 LEN=[0-9]+ TOS=0x00
PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$

Voyez vous une faute (ou plus :) ) ? je sèche

Merci d'avance
Guillaume

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
giggz
Le #9692201
giggz a écrit :
Bonjour,

Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je
sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.

Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
je définisse des nouvelles règles. Et con que je me mette à apprendre
les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
je lis http://www.expreg.com)

Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :

Apr 6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC > SRC2.168.0.2 DST2.168.0.255 LENx TOS=0x00 PREC=0x00 TTLd ID=0
DF PROTO=UDP SPT7 DPT7 LENX
Apr 6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC > SRC2.168.0.2 DST2.168.0.255 LEN$5 TOS=0x00 PREC=0x00 TTLd ID=0
DF PROTO=UDP SPT8 DPT8 LEN"5

J'ai mis cette règle ci :
^w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
OUT= MAC= SRC2.168.0.2 DST2.168.0.255 LEN=[0-9]+ TOS=0x00
PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$




Bon enf ait ça l'air d'être bon...ça ne marchait pas car le fichier
n'avait pas les bons droits...
Si vous trouvez une façon plus élégante de réécrire l'expression
ci-dessus, n'hésitez pas à m'expliquer...

Voyez vous une faute (ou plus :) ) ? je sèche...

Merci d'avance
Guillaume




--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jacques L'helgoualc'h
Le #9692161
giggz a écrit, dimanche 6 avril 2008, à 14:57 :
giggz a écrit :
> Bonjour,



bonjour.

> Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je
> sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.
>
> Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
> je définisse des nouvelles règles. Et con que je me mette à apprendre
> les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
> je lis http://www.expreg.com)



Pourquoi pas, si tu veux l'utiliser en PHP... (toutefois, dans la
présentation il est dit qu' « on peut tout faire avec une expression
régulière » : non ! (une regex correspond à un automate *fini* (on ne
peut pas faire de l'arithmétique avec (comme compter des parenthèses
(imbriquées (à un niveau quelconque)))))).

D'après man 7 regex,
,----
| BOGUES
| Avoir deux sortes d'ER est un calvaire.
|
`----

La malédiction de Babel a frappé nettement plus de deux fois :/

D'après les dépendances du paquet logcheck (grep), il semblerait qu'il
utilise grep --- vérifie la doc, tu pourras sans doute faire tes essais
avec grep -E regex tes_logs.


> Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :
>
> Apr 6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC > > SRC2.168.0.2 DST2.168.0.255 LENx TOS=0x00 PREC=0x00 TTLd ID=0
> DF PROTO=UDP SPT7 DPT7 LENX
> Apr 6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC > > SRC2.168.0.2 DST2.168.0.255 LEN$5 TOS=0x00 PREC=0x00 TTLd ID=0
> DF PROTO=UDP SPT8 DPT8 LEN"5
>
> J'ai mis cette règle ci :
> ^w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
> OUT= MAC= SRC2.168.0.2 DST2.168.0.255 LEN=[0-9]+ TOS=0x00
> PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$
>

Bon enf ait ça l'air d'être bon...ça ne marchait pas car le fichier
n'avait pas les bons droits...
Si vous trouvez une façon plus élégante de réécrire l'expression
ci-dessus, n'hésitez pas à m'expliquer...



Tu ne précises pas ce que tu veux filtrer au juste ?


> Voyez vous une faute (ou plus :) ) ? je sèche...



- ton expression est sans doute trop précise :

au début, "^.* kernel: FW:" devrait suffire, par exemple ;

- d'autres constructions TRUC=... pourraient être plus génériques, etc.
Il faudrait davantage d'exemples pour voir tout ce qui peut varier.

Par exemple, pour le bruit de fond des « ports maudits »,

^.* kernel: FW:.* SPT=(13[5789]|445) ...(avec ou sans DPT idem)

et essaie de voir avec grep si tu as des faux positifs, ou des trucs qui
t'intéressent pour déboguer samba.

> Merci d'avance



de rien,
--
Jacques L'helgoualc'h

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
giggz
Le #9692101
Jacques L'helgoualc'h a écrit :
giggz a écrit, dimanche 6 avril 2008, à 14:57 :
giggz a écrit :
Bonjour,





bonjour.

Désolé pour le hors sujet. Je ne sais po trop où poster...et comme je
sais qu'ils y en a parmi vous qui pourront m'aider je poste ici.

Je viens d'installer logcheck. Le problème est qu'il faut maintenant que
je définisse des nouvelles règles. Et con que je me mette à apprendre
les regexp. Si vous avez de bons liens je suis preneur! (pour l'instant
je lis http://www.expreg.com)





Pourquoi pas, si tu veux l'utiliser en PHP... (toutefois, dans la
présentation il est dit qu' « on peut tout faire avec une expression
régulière » : non ! (une regex correspond à un automate *fini* (on ne
peut pas faire de l'arithmétique avec (comme compter des parenthèses
(imbriquées (à un niveau quelconque)))))).

D'après man 7 regex,
,----
| BOGUES
| Avoir deux sortes d'ER est un calvaire.
|
`----

La malédiction de Babel a frappé nettement plus de deux fois :/

D'après les dépendances du paquet logcheck (grep), il semblerait qu'il
utilise grep --- vérifie la doc, tu pourras sans doute faire tes essais
avec grep -E regex tes_logs.




Merci pour ça! exactement ce que je cherchais!


Bon dans mes logs j'ai ces lignes qui vient de mon script iptables :

Apr 6 12:02:35 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC >>> SRC2.168.0.2 DST2.168.0.255 LENx TOS=0x00 PREC=0x00 TTLd ID=0
DF PROTO=UDP SPT7 DPT7 LENX
Apr 6 12:03:27 localhost kernel: FW:INPUT DROP IN=eth0 OUT= MAC >>> SRC2.168.0.2 DST2.168.0.255 LEN$5 TOS=0x00 PREC=0x00 TTLd ID=0
DF PROTO=UDP SPT8 DPT8 LEN"5

J'ai mis cette règle ci :
^w{3} [ :0-9]{11} [._[:alnum:]-]+ kernel: FW:INPUT DROP IN=[[:alnum:]]+
OUT= MAC= SRC2.168.0.2 DST2.168.0.255 LEN=[0-9]+ TOS=0x00
PREC=0x00 TTLd ID=0 DF PROTO=UDP SPT=[0-9]+ DPT=[0-9]+ LEN=[0-9]+$



Bon enf ait ça l'air d'être bon...ça ne marchait pas car le fichier
n'avait pas les bons droits...
Si vous trouvez une façon plus élégante de réécrire l'expression
ci-dessus, n'hésitez pas à m'expliquer...



Tu ne précises pas ce que tu veux filtrer au juste ?




juste les lignes citées précédemment. Ce sont des lignes qui reviennent
fréquemment ds mes logs et dont je me fiche éperdument...
Apparemment la regexp ci-dessus fait l'affaire. c'est déjà ça! :)


Voyez vous une faute (ou plus :) ) ? je sèche...





- ton expression est sans doute trop précise :

au début, "^.* kernel: FW:" devrait suffire, par exemple ;

- d'autres constructions TRUC=... pourraient être plus génériques, etc.
Il faudrait davantage d'exemples pour voir tout ce qui peut varier.

Par exemple, pour le bruit de fond des « ports maudits »,

^.* kernel: FW:.* SPT=(13[5789]|445) ...(avec ou sans DPT idem)

et essaie de voir avec grep si tu as des faux positifs, ou des trucs qui
t'intéressent pour déboguer samba.




ok. je vais faire ça.
Merci pour tes conseils!
Guillaume

Merci d'avance





de rien,



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme