Trier les logs CRON
Posté : dim. 20 nov. 2016 15:24
Bonjour,
Je galère depuis quelques jours sur un truc qui a l'air simple. Centraliser toutes les infos venant de CRON dans un fichier log spécifique car j'ai dans mon fichier auth.log un spam qui viens de CRON, je précise que aucune tache CRON n'a été rajouté par rapport à un système d'origine.
J'ai trouver "facilement" qu'il fallait modifier le fichier /etc/rsyslog.conf pour faire ceci, mais je n'ai juste réussi à déplacer les logs de "syslog" vers "cron.log"
Modifier /etc/rsyslog.conf
en
Ceci permet d'enlever les logs CRON de syslog et de les mettre dans cron.log, mais rien pour ce fichier auth.log....
En continuant mes recherches j'ai trouvé que l'on pouvait rajouter des fichiers de configuration dans /etc/rsyslog.d/ et ai donc mis des lignes glané et inventé, attention le fichier est en mode jajoutetoutcequejetrouve et commente/decommente pour essayer
Les deux premières ligne viennent de ce site mais me font une erreur au lancement de rsyslog, les deux dernières viennent de mon cerveau, lol, elles ne font pas d'erreurs mais me laisse quand même les logs dans auth.log....
Voila j’espère avoir été assez clair
comment je peut TOUT envoyer dans ce fichier cron.log ?
En attendant je continue mes recherches
Je galère depuis quelques jours sur un truc qui a l'air simple. Centraliser toutes les infos venant de CRON dans un fichier log spécifique car j'ai dans mon fichier auth.log un spam qui viens de CRON, je précise que aucune tache CRON n'a été rajouté par rapport à un système d'origine.
Code : Tout sélectionner
Nov 20 09:39:01 RPi3 CRON[3235]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 20 09:39:01 RPi3 CRON[3235]: pam_unix(cron:session): session closed for user root
Nov 20 10:09:01 RPi3 CRON[8189]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 20 10:09:01 RPi3 CRON[8189]: pam_unix(cron:session): session closed for user root
Nov 20 10:17:01 RPi3 CRON[9532]: pam_unix(cron:session): session opened for user root by (uid=0)
Nov 20 10:17:02 RPi3 CRON[9532]: pam_unix(cron:session): session closed for user rootModifier /etc/rsyslog.conf
Code : Tout sélectionner
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.logCode : Tout sélectionner
*.*;cron.*,auth,authpriv.none -/var/log/syslog
cron.* /var/log/cron.logEn continuant mes recherches j'ai trouvé que l'on pouvait rajouter des fichiers de configuration dans /etc/rsyslog.d/ et ai donc mis des lignes glané et inventé, attention le fichier est en mode jajoutetoutcequejetrouve et commente/decommente pour essayer
Code : Tout sélectionner
# Intercepte les log venant de SECURITY de gravité INFO pour le SYSLOG CRON[...]
#if $syslogfacility-text == 'security' and $syslogseverity-text == 'info' and $syslogtag regexp 'CRON[0-9*]:' and ($msg contains 'pam_unix(cron:session): session opened for user ' or $msg contains 'pam_unix(cron:session): session closed for user ') then /var/log/cron.log
#if $syslogfacility-text == 'security' and $syslogseverity-text == 'info' and $syslogtag regexp 'CRON[0-9*]:' and ($msg contains 'pam_unix(cron:session): session opened for user ' or $msg contains 'pam_unix(cron:session): session closed for user ') then ~
#if $programname == ($msg contains 'pam_unix(cron:session): session opened for user ' or $msg contains 'pam_unix(cron:session): session closed for user ') then /var/log/cron.log
if $programname == 'cron' then /var/log/cron.logVoila j’espère avoir été assez clair
comment je peut TOUT envoyer dans ce fichier cron.log ?En attendant je continue mes recherches