<div dir="ltr">Greg<div><br></div><div>You might be right that the message is being clipped.  If so, you should see Xymon log messages to that effect.</div><div><br></div><div>Perhaps add the IGNORE clause to the client-local.cfg message instead.  This will cause the messages to be dropped at the client side.  Not only can you forget about these messages on the Xymon server, but also you're less likely to have a clipped message.  Like so:</div><div><br></div><div>[sunos]</div><div>log:/var/adm/messages:10240</div><div>ignore refused connect from <span style="font-size:12.8000001907349px">itsecurity-scanner.my.do.main</span></div><div><br></div><div>You could also increase the maximum from 10240.</div><div><br></div><div>Cheers</div><div>Jeremy</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 25 August 2015 at 08:11, Greg Earle <span dir="ltr"><<a href="mailto:earle@isolar.dyndns.org" target="_blank">earle@isolar.dyndns.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm having an issue on my Solaris clients running an older Xymon 4.3.12.<br>
(I have a test build of 4.3.21 waiting in the wings.)<br>
<br>
We constantly get scanned by our IT Security people, resulting in<br>
"/var/adm/messages" entries like<br>
<br>
Aug 24 09:23:39 myorgsun6 nrpe[15035]: [ID 808958 daemon.warning] refused \<br>
connect from itsecurity-scanner.my.do.main (access denied)<br>
<br>
I put an IGNORE entry into "analysis.cfg" to ignore any lines with<br>
"itsecurity-scanner.my.do.main" but I keep getting them - they often look<br>
like this:<br>
<br>
--<br>
red Mon Aug 24 09:55:37 PDT 2015 - Log files NOT ok<br>
<br>
&red Critical entries in <a href="/xymon-cgi/svcstatus.sh?CLIENT=myorgsun6&amp;SECTION=msgs:/var/adm/messages">/var/adm/messages</a><br>
&red ess denied)<br>
--<br>
<br>
As you can see the "messages" entry has been clipped off leading to the<br>
raw "denied" string which triggered the alert.  It's random - sometimes<br>
it's clipped down to "do.main access denied", for example.<br>
<br>
I'm using a bog-standard<br>
<br>
[sunos]<br>
log:/var/adm/messages:10240<br>
<br>
entry in client-local.cfg.<br>
<br>
My theory is that by sending 10240 bytes of the "messages" file across,<br>
it leaves things open to the possibility of sending "clipped" lines -<br>
leading to partial lines that avoid my IGNORE string as a result.<br>
<br>
Am I correct?<br>
<br>
Is there anything in the newer releases that addresses this?<br>
<br>
        - Greg<br>
<br>
_______________________________________________<br>
Xymon mailing list<br>
<a href="mailto:Xymon@xymon.com">Xymon@xymon.com</a><br>
<a href="http://lists.xymon.com/mailman/listinfo/xymon" rel="noreferrer" target="_blank">http://lists.xymon.com/mailman/listinfo/xymon</a><br>
</blockquote></div><br></div>