Debianが提供するルールセットに加えて、/etc/logcheck/ignore.d.workstation/wpasupplicant.localファイル(所有者ルート:logcheck、モード0644)を新しいインストールのlogcheck設定に追加しました。 /etc/logcheck/logcheck.confのREPORTLEVELが"workstation"に設定されていることを確認しました。 wpasupplicant.localの内容には1行しかありません。
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ wpa_supplicant\[[[:digit:]]+\]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX \[GTK=CCMP\]$
ここで、XX:XX:XX:XX:XX:XX は WiFi AP/ゲートウェイの小文字の 16 進 MAC アドレスです。
ただし、次の内容を含む時間別の電子メールレポート(ログの確認を行うたびに)を受け取ります(時間はさまざまです。かなり短い間隔で再暗号化を完了するように設定しました)。
Aug 11 20:06:51 yeono wpa_supplicant[2524]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX [GTK=CCMP]
同様に、XX:XX:XX:XX:XX:XXは、接続する小文字の16進MACアドレスです。両方の項目に示されているMACアドレスが同じであることを再確認しました。
これを実行しgrep -E --color "$(cat wpasupplicant.local)" -てから、ログメールから直接コピーしたログ行をgrepのstdinに貼り付けると、正確に一致するものが表示されます(全体の行は赤で表示されます)。
データが正しいignoreディレクトリのエントリと一致するため、その行は電子メールレポートに含まれないと予想されます。 /etc/logcheck/violations.dと/etc/logcheck/cracking.dを確認しましたが、どちらも関連するものを含まないようです(grep -i WPA *両方のディレクトリが空であるように見えます)。
ログ確認レポートの電子メールに「再暗号化の完了」行が含まれているのはなぜですか?
ベストアンサー1
読むREADME.logcheck-database:
Another safety-net is provided by the fact that the process that
collates all the applicable rules uses "run-parts", the standard
Debian utility also used for iterating through "/etc/cron.d",
"/etc/ppp/ip-up.d" etcetera. It therefore automatically ignores
files with names such as "fooserver.disabled" or "local~".
.local拡張機能がlogcheckがファイルをスキップするのかどうかはわかりませんwpasupplicant.local。そうでない場合は.local動作しますか?