我有一個像這樣設置的規則;

在/etc/sec/rules.d我有;

type=SingleWithSuppress

ptype=regexp

pattern=(\S+) sshd\[\d+\]: PAM \d+ more authentication failures\; logname=.* uid=.* euid=.* tty=ssh ruser=.* rhost=(.*) user=(.*)

desc=Login Failure: $0

action=pipe '%s ' /bin/mail -s "login failure $2 to $3@$1" team@team.com

window=300

所以如果這是通過syslog來的;

Nov 21 11:24:10 servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

它應該根據模式匹配(根據我的正則表達式編輯器);

servername.server.com sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user=kloggins

我們遇到垃圾郵件問題,因為時間戳正在發生變化.所以我重寫了模式以匹配主機名后的所有內容.

但是,這似乎不起作用,每次用戶“身份驗證失敗”時,我仍然會收到一封電子郵件.

我一直在使用以下測試;

logger -p syslog.err 'sshd[26846]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost= user='

有任何想法嗎？我可能只是誤解了秒.這是我第一次使用它！

任何幫助將不勝感激.謝謝！

總結

以上是生活随笔為你收集整理的linux关闭时间戳是否有影响,linux – 如何让sec正确忽略时间戳的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。