roles/journalwatch/templates/patterns

   1 # In this file, patterns for journalwatch are defined to blacklist all journal
   2 # messages which are not errors.
   3 #
   4 # Lines starting with '#' are comments. Inline-comments are not permitted.
   5 #
   6 # The patterns are separated into blocks delimited by empty lines. Each block
   7 # matches on a log entry field, and the patterns in that block then are matched
   8 # against all messages with a matching log entry field.
   9 #
  10 # The syntax of a block looks like this:
  11 #
  12 # <field> = <value>
  13 # <pattern>
  14 # [<pattern>]
  15 # [...]
  16 #
  17 # If <value> starts and ends with a slash, it is interpreted as a regular
  18 # expression, if not, it's an exact match. Patterns are always regular
  19 # expressions.
  20 #
  21 # Below are some useful examples. If you have a small set of users, you might
  22 # want to adjust things like "user \w" to something like "user (root|foo|bar)".
  23 #
  24 # The regular expressions are extended Python regular expressions, for details
  25 # see:
  26 #
  27 # https://docs.python.org/3.4/library/re.html#regular-expression-syntax
  28 # https://docs.python.org/3.4/howto/regex.html
  29 # http://doc.pyschools.com/html/regex.html
  30 #
  31 # The journal fields are explained in systemd.journal-fields(7).
  32
  33 _SYSTEMD_UNIT = systemd-logind.service
  34 New session [a-z]?\d+ of user \w+\.
  35 Removed session [a-z]?\d+\.
  36
  37 SYSLOG_IDENTIFIER = /(CROND|crond)/
  38 pam_unix\(crond:session\): session (opened|closed) for user \w+
  39 \(\w+\) CMD .*
  40
  41 SYSLOG_IDENTIFIER = systemd
  42 (Stopped|Stopping|Starting|Started) .*
  43 (Created slice|Removed slice) user-\d+\.slice\.
  44 Received SIGRTMIN\+24 from PID .*
  45 (Reached target|Stopped target) .*
  46 Startup finished in \d+ms\.
  47 {% if journalwatch is defined and journalwatch.strato_broken | default(False) %}
  48 Failed to create /user.slice/user-\d+.slice/user@\d+.service/init.scope control group: Permission denied
  49 Failed to allocate manager object: Permission denied
  50 {% endif %}
  51
  52 _SYSTEMD_UNIT = init.scope
  53 user@\d+\.service: Killing process \d+ \(kill\) with signal SIGKILL\.
  54 [^: ]+: Consumed [\d.]+s CPU time\.
  55 {% if journalwatch is defined and journalwatch.strato_broken | default(False) %}
  56 Failed to set devices.allow on /system.slice/[a-z-]+.service: Operation not permitted
  57 {% endif %}
  58
  59 SYSLOG_IDENTIFIER = sudo
  60 \s*[._\w-]+ : (TTY=(unknown|console|(pts/|ttyp?|vc/)\d+) ; )?PWD=[^;]+ ; USER=[._\w-]+ ; COMMAND=.*
  61
  62 SYSLOG_IDENTIFIER = su
  63 \(to [._\w-]+\) [._\w-]+ on none
  64
  65 _SYSTEMD_UNIT = postfix@-.service
  66 warning: hostname [\w._-]+ does not resolve to address [\da-fA-F.:]+(: .*)?
  67 warning: [._\w-]+\[[\da-fA-F.:]+\]: SASL (LOGIN|PLAIN) authentication failed:.*
  68 warning: non-SMTP command from [._\w-]+\[[\da-fA-F.:]+\]: .*
  69 warning: TLS library problem: error:[0-9A-F]+:SSL routines:\w+:(no shared cipher|decryption failed or bad record mac|unknown protocol|version too low):[\w./]+:\d+:
  70 warning: dnsblog reply timeout \d+s for .*
  71 warning: dnsblog_query: lookup error for DNS query .*: Host or domain name not found. Name service error .*
  72 warning: ciphertext read/write timeout for \[[\da-fA-F.:]+\]:\d+
  73 warning: getpeername: Transport endpoint is not connected -- dropping this connection
  74 {% if journalwatch is defined and journalwatch.postfix_slow | default(False) %}
  75 warning: psc_cache_update: btree:/var/lib/postfix/[a-z_]+ (update|lookup) average delay is \d\d\d ms
  76 {% endif %}
  77 {% if journalwatch is defined and journalwatch.strato_broken | default(False) %}
  78 warning: dnsblog reply timeout [0-9]+s for [\w._-]+
  79 warning: dnsblog_query: lookup error for DNS query .*
  80 {% endif %}
  81
  82 _SYSTEMD_UNIT = dovecot.service
  83 auth: Warning: auth client \d+ disconnected with \d+ pending requests: (EOF|Connection reset by peer)
  84 auth: Warning: Event 0x[\da-fA-F]+ leaked \(parent=\(nil\)\): auth-client-connection.c:\d+
  85
  86 SYSLOG_IDENTIFIER = sshd
  87 error: Received disconnect from [\da-fA-F.:]+ port \d+:\d+: .*
  88 error: maximum authentication attempts exceeded for (invalid user [\w_-]*|[\w_-]+) from [\da-fA-F.:]+ port \d+ ssh2 \[preauth\]
  89 error: (kex_exchange_identification|send_error|kex_protocol_error|kex protocol error|Bad remote protocol version identification|Protocol major versions differ|beginning MaxStartups throttling).*
  90 fatal: ssh_packet_get_string: string is too large \[preauth\]
  91 error: userauth_pubkey: (parse request failed:|could not parse key:|cannot decode key:) .*
  92 fatal: monitor_read: unpermitted request .*
  93 error: key_from_blob: invalid format \[preauth\]
  94
  95 _SYSTEMD_UNIT = named.service
  96 client (@0x[a-f0-9]+ )?[\da-fA-F.:]+#\d+( \([\w.-]+\))?: (zone transfer '[\w.-]+/AXFR/IN' denied|message parsing failed: (bad compression pointer|bad label type|unexpected end of input))
  97
  98 _SYSTEMD_UNIT = opendkim.service
  99 [A-Z0-9]+: (bad signature data|failed to parse [Aa]uthentication-[Rr]esults: header field)
 100 [A-Z0-9]+: key retrieval failed \(s=[\w._-]+, d=[\w._-]+\)(: '[\w._-]+' (record not found|query timed out))?
 101
 102 _SYSTEMD_SLICE=system-openvpn.slice
 103 (client/)?[0-9a-f.:]+ (peer info: .*|VERIFY OK: .*|Outgoing Data Channel: .*|Incoming Data Channel: .*|Control Channel: .*|TLS: .*|\[client\] .*|MULTI(_sva)?: .*|SIGUSR1.*|PUSH: .*|SENT CONTROL \[client\]: .*|WARNING: '(tun|link)-mtu' is used inconsistently, local='(tun|link)-mtu \d+', remote='(tun|link)-mtu \d+')
 104
 105 SYSLOG_IDENTIFIER = kernel
 106 xfs filesystem being remounted at /run/schroot/mount/schsh-[^ ]* supports timestamps until 2038 \(0x7fffffff\)