メールサーバを、maildirはやっぱやめてmboxのままで運用することにしたので、qpopper-drac使って設定楽することにしました。
で問題なく運用されているのですが、Debian(sarge)ではデフォルトでlogcheckが動いていて、qpopperのフィルタが設定されていないため、山ほど引っかかってきてうっとおしいです。
これでは本当に必要なセキュリティの警告を見逃してしまう可能性があるので、フィルタを設定しました。
/etc/logcheck/ignore.d.server/qpopper は無いので、下記内容で作成。
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ in.qpopper\[[0-9.]+\]: connect from [._[:alnum:]-]+ \([0-9.]{7,15}\)$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ in.qpopper\[[0-9.]+\]: \(v[0-9.]+\) POP login by user "[-_.@[:alnum:]]+" at \([._[:alnum:]-]+\) [0-9.]{7,15} \[pop_log.c:244\]$
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ in.qpopper\[[0-9.]+\]: \[drac\]: login by [-_.@[:alnum:]]+ from host [._[:alnum:]-]+ \([0-9.]{7,15}\) \[drac.c:118\]$/etc/logcheck/ignore.d.server/postfix には下記行を追加。
^\w{3} [ :0-9]{11} [._[:alnum:]-]+ postfix/smtpd\[[0-9.]+\]: table btree:/var/lib/drac/dracd has changed -- restarting$
正規表現が解りにくいですが、日付はこのパターン、ユーザ名はこのパターン、というようにパターンでメモしておけば簡単です。
というわけで、メモ。
日付 \w{3}
時間 [ :0-9]{11}
サーバ名 [._[:alnum:]-]+
プロセス番号 [0-9.]+
ユーザ名 [-_.@[:alnum:]]+
FQDN [._[:alnum:]-]+
IP [0-9.]{7,15}
メールアドレス [^[:space:]]+
