You need both.<br>
clients-local.cfg is to tell the client to report on these logs<br>
hobbit-clients.cfg is tell hobbitd to check/alert against log data reported from clients <br>
<br><div><span class="gmail_quote">On 8/9/06, <b class="gmail_sendername">Gary B.</b> <<a href="mailto:gmbfly98@gmail.com">gmbfly98@gmail.com</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Maybe I'm just missing something in the documentation, but I can't<br>seem to get the log file monitoring to work properly.  In the example<br>below, I'm trying to look at the "messages" and "maillog" files on
<br>Linux.<br><br>Particularly, I'm trying to EXCLUDE the following "messages" lines:<br>Aug  9 21:19:45 www upsd[7860]: Connection from <a href="http://127.0.0.1">127.0.0.1</a><br>Aug  9 21:19:45 www upsd[7860]: Client on 
<a href="http://127.0.0.1">127.0.0.1</a> logged out<br>Aug  9 21:19:45 www upsd[7860]: Connection from <a href="http://127.0.0.1">127.0.0.1</a><br><br>Aug  9 16:44:01 www crond(pam_unix)[5382]: session opened for user<br>
root by (uid=0)<br>Aug  9 16:44:14 www crond(pam_unix)[5382]: session closed for user root<br>Aug  9 16:45:01 www crond(pam_unix)[5484]: session opened for user<br>mailman by (uid=0)<br>Aug  9 16:45:01 www crond(pam_unix)[5484]: session closed for user mailman
<br><br>And EXCLUDE the following "maillog" lines:<br>Aug  6 11:55:02 www sendmail[15076]: k76Ft1pU015076:<br>from=<mailman@HOSTNAME>, size=576, class=0, nrcpts=1,<br>msgid=<200608061555.k76Ft1A2015075@HOSTNAME
>, proto=ESMTP, daemon=MTA,<br>relay=localhost.localdomain [<a href="http://127.0.0.1">127.0.0.1</a>]<br><br><br>Below is the respective lines from the "client-local.cfg" file:<br>log:/var/log/messages:10240<br>
ignore upsd* Client|Connection <a href="http://127.0.0.1">127.0.0.1</a><br>ignore session opened|closed for user mailman|root<br>log:/var/log/maillog:10240<br>ignore relay=localhost.localdomain<br>trigger denied<br><br>And below the specific log entries I'm looking for from "
hobbit-clients.cfg":<br>LOG     /var/log/maillog  "relaying denied"  color="yellow"<br><br><br>Now, the problem I'm having...<br>The "ignore" line for the /var/log/maillog file appears to be working
<br>correctly, as it does indeed ignore such entries as shown above.  Also<br>working is the "ignore session opened..." line for the<br>/var/log/messages file.<br><br>What is NOT working is the "ignore" line for the "upsd*" lines in
<br>/var/log/messages.  For the life of me, I just can't figure out how to<br>get that to work properly.  That is, two of the three "ignore" lines<br>are not working, as those lines still show up in the "full log"
<br>output.  If anyone has any ideas, let me know.<br><br>I'm also having problems with some logs not showing up on the messages<br>page.  Do you need both a "LOG" entries in the hobbit-clients.cfg AND<br>client-local.cfg
, or will an entry in only client-local.cfg be<br>sufficient to have it show up on the messages page?<br><br>To unsubscribe from the hobbit list, send an e-mail to<br><a href="mailto:hobbit-unsubscribe@hswn.dk">hobbit-unsubscribe@hswn.dk
</a><br><br><br></blockquote></div><br>