Problem mit Logcheck RegEx

Mordor

Registered User
Hallo zusammen
Irgendwie will der ein oder andere RegEx bei der Auswertung mit Logheck nicht matchen.

RegEx:
Code:
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ postfix/smtpd\[[0-9]*\]: (connect|disconnect) from unknown\[([0-9]{1,3}\.){3}[0-9]{1,3}\]$
Soll mit
Code:
Oct 10 19:09:47 host1 postfix/smtpd[32237]: connect from unknown[xxx.xxx.xxx.xxx]
Oct 10 19:09:47 host1 postfix/smtpd[32237]: disconnect from unknown[xxx.xxx.xxx]
matchen, was er aber nicht macht.

Entweder hab ich da irgendwas übersehen, oder was falsche gemacht. Vielleicht kann ja mal jemand drüber gucken.

Danke schon mal

Mordor
 

Mordor

Registered User
Und da wäre ich dann wieder. Hab es jetzt mit dem Escapen versucht, was jedoch auch keinen Erfolg bringt. Die anderen Regeln werde alle angewendet, nur eben diese eine nicht.
 

jens_s

Member
...

Soll mit
Code:
Oct 10 19:09:47 host1 postfix/smtpd[32237]: connect from unknown[xxx.xxx.xxx.xxx]
Oct 10 19:09:47 host1 postfix/smtpd[32237]: disconnect from unknown[xxx.xxx.xxx]
matchen, ...
Heißt dein Rechner wirklich host1 oder hast du das vorher noch zensiert? Wenn zensiert, dann ist vielleicht irgendein Zeichen im Hostname das von der RegEx nicht berücksichtigt wird.

Prinzipiell ist deine RegEx richtig, hab sie mal bei mir auf dem Server ausprobiert und sie hat einige Zeilen ausgespuckt.
 

Mordor

Registered User
Der Name der in den Logs angezeigt wird, heißt wirklich host1. Der Regex funktioniert bei mir auch so ziemlich überall, ob in PHP oder im RegEX-Tester sowohl webbasiert als auch in Komodo. Nur Logcheck frisst ihn nicht.
 

Mordor

Registered User
So, der Fehler ist gefunden:
Das Problem war, dass hinter dem RegEx noch zwei Leerzeichen in der Datei waren, und deshalb hat er anscheinend den RegEx nicht genommen.
 
Top