Automatische Logcheck Regelaktualisierung Für Hochpräzise Zeitstempel Ab Debian 12 Bookworm

Nach dem Update auf Debian 12 funktionieren die selbst angelegten logcheck Regeln nicht mehr. Das liegt daran, dass du nun hochpräzise Zeitstempel in den Logs genutzt werden.

Die eigenen Regeln kann man mit einem Befehl für das neue Format einfach konvertieren. Als root muss folgendes Kommando ausgeführt werden:

for rule in /etc/logcheck/*.d*/local-*; do sed --in-place --regexp-extended 's,^\^((\\w|\[\[:alpha:\]\])\{3\} \[ :(0-9|\[:digit:\])\]\{11\}),^(\1|[0-9T:.+-]{32}),' "$rule" ; done

Dabei muss der Ausdruck für die Dateipfade /etc/logcheck/*.d*/local-* an die eigenen Dateinamen der Regeln angepasst werden. Bei mir beginnen sie mit 01-, sodass ich diese Stelle auf /etc/logcheck/*.d*/01-* abgeändert habe.

Die Regel habe ich auch noch auf die postgrey Dateien angewendet, weil diese noch den alten Zeitstempel unterstützt haben und nicht auch den neuen.