Logwatchemail etwas filtern/verschlanken

  • Thread starter Thread starter Tobster
  • Start date Start date
T

Tobster

Guest
Ich hoffe mein Titel sorgt nicht für mehr Verwirrung als mein Text.

Ich habe folgendes Problem, das Problem ist nach einer kurzen Einleitung zu finden. Falls es da Probs gibt bitte was sagen und nicht nicht antworten - Danke

Ich bekomme recht viel Spam, dieser kommt größten Teils von IP-Adressen welches mir eine der Drei Spamhaus Blacklisten blockt. Die Mailsender haben die angewohnheit nachdem man Ihnen gesagt hat das die Mail nicht angenommen wird einfach die Verbindung zu trennen.
Daraus folgt (mein Problem) das mir mein Logwatch-Script fünf bis 10 Megabyte an IP-Adresse schickt. Diese IP-Adressen stehen größtenteils unter dieser Kategorie:
Code: 
 Sudden disconnect while expecting remote input:

Ferner bekomme ich dann noch zwei bis drei Megabyte an IP-Adressen unter folgender Kategorie

Code: 
 --- Failed Reverse Lookups

Hat vielleicht jemand eine Idee, wie ich Logwatch so umkonfiguriere, damit ich einen ähnlichen Informationsgrad beibehalten habe mich noch in den Mails zurechtfinde?

Achso bevor ich es vergesse Debian 4.0 mit exim 4.63 und bind 9 erstellen die Logeinträge.

Danke
 
Je nach Distribution/Installation findest Du die Logwatch-Scripte entweder unter /etc/logwatch/scripts/services/ oder /usr/share/logwatch/scripts/services/ oder, oder oder...

Je nach MTA mußt Du die Datei "qmail", "sendmail" oder "postfix" bearbeiten.
Blätter runter zu den ersten "if ( ( $ThisLine =~ m/ ...". I.d.R. wird direkt der erste "if" folgendermaßen abgeschlossen:
Code: 
   ) {
      # We don't care about these
Dort kannst Du einfach vorher eine entsprechende Zeile einfügen:
Code: 
 or ( $ThisLine =~ m/Sudden disconnect while expecting remote input/ )
(Achte auf die richtige Verwendung von "or".)
Überprüfen kannst Du den Syntax mit "perl -c postfix".
Das Ergebnis selbst:
Code: 
logwatch --print --range Yesterday --service postfix |less

huschi.
 
Code: 
Achso bevor ich es vergesse Debian 4.0 mit exim 4.63 und bind 9 erstellen die Logeinträge.
Die Zeile hattest du gelesen oder?

Code: 
# We don't care about these
Gibt es in der ganzen Datei nicht.

Das erste if sieht so aus...
Code: 
if ( $ThisLine =~ /End queue run\:/ ) {
      $EndQueue++;
   }


Ich glaube wir sollten hier schrauben - Wenn immer das selbe in der Zeile steht wird sie nur einmal ausgegeben oder?
Code: 
elsif ( $ThisOne =~ /unexpected disconnection while reading SMTP command/ ) {
            $cc = "Sudden disconnect while expecting remote input";
            ( $bb ) = ($ThisOne =~ m/\[(\d+\.\d+\.\d+\.\d+)\]/);
         }
 
Last edited by a moderator:
Du kannst es doch einbauen wo Du willst.
Es sind auch genügend "# ignore this; ..." Beispiele vorhanden, oder?

huschi.
 
In der nicht aber in anderen Dateien. Wobei das ignore hier völliger blödsinn ist. Wenn ich nix machen will muss ich auch kein if reinschreiben.
 
Die Annahme ist doch falsch. Wenn Du Dir das letzte "else" anschaust, siehst Du auch warum. Denn dort werden die vielen MegaBytes an $others im Sammelbecken des "unknown" gesammelt.
Und genau das willst Du doch vermeiden, oder?
Dann brauchst Du ein "if" welches genau diese Zeilen ins Nirvana laufen läßt.

huschi.
 
You must log in or register to reply here.
Back
Top