安裝完成之後,你開始創建規則。規則是基於與你所進行的各種行為相匹配的常規表達式,比如"ignore," "exec"(運行一個程序),"rule"(主要地創建一個新規則)等。
這是關於規則的簡單例子,忽略了登錄消息 “上次消息重復xx次”.
'last message repeated' - - - 0 ignore
這是規則的句法:
match_regexnot_match_regexstop_regexnot_ stop_regex timeout [continue] \ action
比如,在任何一台總機上登錄ssh,你可以使用如下規則:
'^.{15,} (.*) sshd\[.* session opened for user (.*)' - - - 0 open "$2 sshd login" - 500 1200 600 report "/usr/local/bin/mailop \"ssh login on $2 for $4\" \"$2 sshd login\"
如果更復雜的話,這個規則會運行/usr/local/bin/mailop腳本發送消息,表明ssh登錄發生在特定主機上並且來自從一個特定用戶。
你可以看到各式各樣的(比如,$2, $4,等等),均象征著匹配的平常表達式. $2對應第二個匹配的regexp,而$4對應第四個匹配的regexp,這就是在匹配的登錄列規則下,跟機器名稱和用戶名的相互對應。這是一個制作一個新關系的規則的例子。
首次安裝LogSurfer+,可能有點困難,特別是在你不熟悉的常規表達式的情況下。核查emf's的LogSurfer配置網頁來獲取另外一些例子和正使用的規則,他們中包括許多規則的例子。