logcheckが不足しているログイン成功を報告するのはなぜですか?

tag-icon tag-icon linux ubuntu logs regular-expression syslog
logcheckが不足しているログイン成功を報告するのはなぜですか?

私はUbuntu 14.04 LTSサーバーを実行しており、logcheckを使用してログメッセージを報告しています。サーバーを含む horde3 をインストールし、logcheck-databaseファイルのインストールを無視しました。

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ .+\[[0-9]+\]: \[horde\] Login success for [@._[:alnum:]-]+ \[[.0-9]{7,15}\] to Horde \[on line [0-9]+ of ".+"\]$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ .+\[[0-9]+\]: \[horde\] User [@._[:alnum:]-]+ \[[.0-9]{7,15}\] logged out of Horde \[on line [0-9]+ of ".+"\]$

それでは、ログ確認で次のような不足ログメッセージが報告されるのはなぜですか?

Feb 20 09:37:13 xxx HORDE: [imp] Login success for [email protected] (xx.xxx.xxx.xx) to {imap://mail.xxx.de/} [pid 428 on line 157 of "/var/www/horde/imp/lib/Auth.php"]
Feb 20 09:37:37 xxx HORDE: [horde] User [email protected] logged out of Horde (xx.xx.xxx.xxx) [pid 21839 on line 107 of "/var/www/horde/login.php"]

私はHorde Webmail 5.2.5を使用しています。

ベストアンサー1

Hordeメッセージの内容が変更され、horde3ファイルの正規表現が一致しないことがわかりました。

以下は、Horde Webmail 5.2.5の正しい正規表現です。

^\w{3} [ :0-9]{11} [._[:alnum:]-]+ HORDE: \[imp\] Login success for [@._[:alnum:]-]+ \([.0-9]{7,15}\) to \{[:\/.[:alnum:]-]+\} \[pid [0-9$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ HORDE: message repeated [0-9]+ times: \[ \[imp\] Login success for [@._[:alnum:]-]+ \([.0-9]{7,15}\) t$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ HORDE: \[horde\] User [@._[:alnum:]-]+ logged out of Horde \([.0-9]{7,15}\) \[pid [0-9]+ on line [0-9]$

おすすめ記事