Hello,

trotz Versuches, diese Doku zu rsyslogd zu verstehen, bin ich leider noch nicht weiter, wie ich den Filter realisieren kann und ob ich noch zusätzliche Module benötige (ommail) :-(

Die ganzen Konfigurationskürzel sind doch sehr eigen und kryptisch.

Meine rsyslog-Verfsion ist 5.8.11

Dabei kann ich dir leider nicht mehr helfen; damit kann ich nicht testen und die Syntax hat sich mitlerweile geändert. Mit einem aktuellen rsyslogd funktioniert es eines der Beispiele nach http://www.rsyslog.com/doc/v8-stable/configuration/modules/ommail.html anzupassen und nach /etc/rsyslog.d/test.conf zu kopieren.

Wirklich schade. Das scheint erst mit ommail so zu funktionieren (einrichtbar zu sein), wie ich es brauche. Und das arbeitet noch nicht mit Version 5.8.11 zusammen.
Bei 5.8.11 gibt es nur omusrmsg und das kann scheinbar noch keine Bedingungen auswerten, wie z. B.

if $msg contains 'sshd\[d{1,6}\]: Accepted password for .* from' then :ommail:;mailBody

bzw. würe ich ... Accepted publickey ... auch noch benötigen.

Scheint aber nicht zu funktionierern. Für jeden gegenteiligen Tipp wäre ich dankbar. Bitte dann auch gerne per Mail selfhtml@bitworks.de, wenn der Thread schon zu alt geworden sein sollte.

Sonst muss ich leider bis zum Update des Hosts warten oder doch was mit inotify basteln :-(

Liebe Grüße
Tom S.