安装完成之后,你开始创建规则。规则是基于与你所进行的各种行为相匹配的常规表达式,比如"ignore," "exec"(运行一个程序),"rule"(主要地创建一个新规则)等。
这是关于规则的简单例子,忽略了登录消息 “上次消息重复xx次”.
'last message repeated' - - - 0 ignore
这是规则的句法:
match_regexnot_match_regexstop_regexnot_ stop_regex timeout [continue] \ action
比如,在任何一台总机上登录ssh,你可以使用如下规则:
'^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0 open "$2 sshd login" - 500 1200 600 report "/usr/local/bin/mailop \"ssh login on $2 for $4\" \"$2 sshd login\"
如果更复杂的话,这个规则会运行/usr/local/bin/mailop脚本发送消息,表明ssh登录发生在特定主机上并且来自从一个特定用户。
你可以看到各式各样的(比如,$2, $4,等等),均象征着匹配的平常表达式. $2对应第二个匹配的regexp,而$4对应第四个匹配的regexp,这就是在匹配的登录列规则下,跟机器名称和用户名的相互对应。这是一个制作一个新关系的规则的例子。
首次安装LogSurfer+,可能有点困难,特别是在你不熟悉的常规表达式的情况下。核查emf's的LogSurfer配置网页来获取另外一些例子和正使用的规则,他们中包括许多规则的例子。