Debian에서 제공하는 규칙 세트에 추가하여 /etc/logcheck/ignore.d.workstation/wpasupplicant.local 파일(소유자 루트:logcheck, 모드 0644)을 새 설치의 logcheck 설정에 추가했습니다. /etc/logcheck/logcheck.conf의 REPORTLEVEL이 "workstation"으로 설정되어 있음을 확인했습니다. wpasupplicant.local의 내용에는 한 줄만 있습니다.
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ wpa_supplicant\[[[:digit:]]+\]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX \[GTK=CCMP\]$
여기서 XX:XX:XX:XX:XX:XX는 WiFi AP/게이트웨이의 소문자 16진수 MAC 주소입니다.
그러나 다음 내용이 포함된 시간별 이메일 보고서(로그 확인을 수행할 때마다)를 계속 받습니다(시간은 다양합니다. 상당히 짧은 간격으로 재암호화를 완료하도록 설정했습니다).
Aug 11 20:06:51 yeono wpa_supplicant[2524]: wlan0: WPA: Group rekeying completed with XX:XX:XX:XX:XX:XX [GTK=CCMP]
마찬가지로 XX:XX:XX:XX:XX:XX는 연결하려는 소문자 16진수 MAC 주소입니다. 두 항목에 표시된 MAC 주소가 동일한지 다시 확인했습니다.
이 작업을 수행 grep -E --color "$(cat wpasupplicant.local)" -
한 다음 로그 이메일에서 직접 복사한 로그 줄을 grep의 stdin에 붙여 넣으면 정확히 일치하는 항목이 표시됩니다(전체 줄이 빨간색으로 표시됩니다).
데이터가 올바른 ignore
디렉터리의 항목과 일치하므로 해당 행은 이메일 보고서에 포함되지 않을 것으로 예상됩니다. /etc/logcheck/violations.d 및 /etc/logcheck/cracking.d를 확인했는데 어느 쪽도 관련된 내용을 포함하지 않는 것 같습니다( grep -i WPA *
두 디렉터리 모두 비어 있는 것으로 나타납니다).
로그 확인 보고서 이메일에 "재암호화 완료" 줄이 포함된 이유는 무엇일까요?
답변1
읽다 README.logcheck-database
:
Another safety-net is provided by the fact that the process that
collates all the applicable rules uses "run-parts", the standard
Debian utility also used for iterating through "/etc/cron.d",
"/etc/ppp/ip-up.d" etcetera. It therefore automatically ignores
files with names such as "fooserver.disabled" or "local~".
.local
확장 기능으로 인해 logcheck가 파일을 건너뛰게 되는지 잘 모르겠습니다 wpasupplicant.local
. 그렇지 않다면 .local
작동할까요?