bonjour,  
 
J'éssaie de configurer l'outil logwatch afin de recevoir un mail journalier relativement sinthetique.
Je récupere des logs des logs windows (dans le repoertoire /var/log de mon serveur Linux) grace à Syslog installé sur un serveur NT.
 
Voici le début du script d'un services logwatch :
 
$adminlog = 0;
while (defined ($ThisLine = <STDIN> ))  
  {
if ( $ThisLine =~ m/ security.*success.*Utilisateur : administrateur/ )
 {
 $adminlog++;
 }
  }
exit(0);
 
# Petit script qui me permet de déterminer en parsant mon fichier Log, le nombre de connexion en Administrateur qui ont était effectué)
 
 
Maintenant je voudrais apporter une amélioration pour pouvoir obtenir l'IP ainsi que le nombre de connexion de chaque IP.
Dans les Logs l'ip apparait de cette forme : "adresse reseau source : 192.xxx.xxx.xxx"
 
Moi ce que je voudrais  c"est qu'a chaque fois qu'il rencontre la chaine de caractere "adresse reseau source :" il me retourne "192.XXX.XXX.XXX"
 
 
J'ai éssayé de me chercher (expression reguliere) mais je ne voit pas trop comment faire !  
 
Merci

C'est pas super dur
t'as regex elle doit matcher:

• 192 suivi d'un point : "192\."
• entre un et trois chiffres suivi d'un point "\d{1,3}\."
• entre un et trois chiffres suivi d'un point "\d{1,3}\."
• entre un et trois chiffres "\d{1,3}\"

Du coup ça donne

Et pour le comptage, je ferais une petite hash avec comme clé l'ip trouvée:

 
edit:
En fait il serait plus logique de considérer ta regex comme ça:

• 192  
• et point et entre un et trois chiffres suivi d'un point "\.\d{1,3}"
• et point et entre un et trois chiffres suivi d'un point "\.\d{1,3}"
• et point et entre un et trois chiffres suivi d'un point "\.\d{1,3}"

ce qui fait que tu pourrais la raccourcir mais bon

Merci pour la réactivité ! ça fait plaisir  
 
Je vais tester ta solution
 
Merci bcp

jpense que je dois mal mi prendre mais ça marche pas

while (defined ($ThisLine=<STDIN> )) {
 
use strict;
use Data::Dumper;
 
my %ips;
open (F, 'messages.txt');
while (<F> ) { /adresse r esau source : (192.168.d{1,3}.d{1,3})/; {
$ips {$1}++;
             }
close (F);
print Dumper %ips;
             }
exit(0);

le bout de code que je t'ai donné c'etait "tout le code" à mettre dans un script perl...
et tu feras attention à bien recopier la regex, il manque les \

Voici mon Script complet :
 
#!/usr/bin/perl
 
use strict;
use Data::Dumper;
 
my %ips;
open (F, 'messages.txt');
while (<F> ) {  
     /source : (192\.\d{1,3}\.\d{1,3}\.\d{1,3})/;
$ips {$1}++;
             }
close (F);
print Dumper %ips;

et y'a encore un pb?

oui car lorsque j'éxecute Logwatch je ne reçois rien pr mon Scripts "winlog"

déjà ça compile
Tu es sur que la pattern qui récupère la ligne est correcte? Tu peux montrer une ligne ou deux de ton fichier de log stp!

euuhh c quoi la pattern ? le fichier .conf c ça ?
 
Voici un exemple de Log que je reçois dans /var/log/messages  :
 
May 15 15:21:04 srv-nt10.XXX.XX security[success] 528 XXX\administrateur  Ouverture de session réseau réussie :    Utilisatr : administrateur    Domaine : XXX    Id. de la session : (0x0,0x24A09FAA)    Type de session : 10    Processus de session : User32      Package d'authentification : Negotiate    Station de travail : SRV-NT10    GUID d'ouv. de session : {a675ddcb-7e7e-fcfa-9bf0-3ec68c8c1627}    Nom de l'utilisateur appelant : SRV-NT10$    Domaine appelant : XXX    Id. de session de l'aplant : (0x0,0x3E7)    ID de processus appelant : 13852    Services en transit : -   Adresse réseau source : 192.168.XX.XXX Port source : 34717

marche très bien
Avec le code plus haut et le fichier texte suivant:

 
ça printe:
[code]$VAR1 = '192.168.12.14';
$VAR2 = 4;
$VAR3 = '192.168.12.16';
$VAR4 = 1;/[code]
 
Edit: t'es sur qu'il compile ton script au fait? Tu as installé le module Data::Dumper?

oui oui il compile c bon ça a l'air de marcher
nonj'ai pas installé Data::Dumper

vire les lignes:

et à la place de

mets

C'est fait , oui effectivement c'est mieux comme ça

En faite mon but est de comptabiliser toutes les Authentification en Admin sur chaque serveur NT pour chaque jour.
et dans un 2eme temps de les lister par adresses IP.
 
Voici un exemple de Log :
 
May 15 15:21:04 srv-nt10.XXX.XX security[success] 528 XXX\administrateur  Ouverture de session réseau réussie :    Utilisatr : administrateur    Domaine : XXX    Id. de la session : (0x0,0x24A09FAA)    Type de session : 10    Processus de session : User32      Package d'authentification : Negotiate    Station de travail : SRV-NT10    GUID d'ouv. de session : {a675ddcb-7e7e-fcfa-9bf0-3ec68c8c1627}    Nom de l'utilisateur appelant : SRV-NT10$    Domaine appelant : XXX    Id. de session de l'aplant : (0x0,0x3E7)    ID de processus appelant : 13852    Services en transit : -   Adresse réseau source : 192.168.XX.XXX Port source : 34717
 
Voici mes 2 lignes de matching :  
_if ( $ThisLine =~ m/ security.*success.*Utilisateur : administrateur/ )
 {
 $adminlog++; }
 
_while (<F> ) {  
     /security.*success.*Utilisateur : administrateur.*SRV-NT10.*source : (192\.\d{1,3}\.\d{1,3}\.\d{1,3})/;
$ips {$1}++;  
 
 
Je pense que c'est ligne n'éffectue pas le bon matching car les rapport que je reçois sont corompue (information inéxacte, information démesurée)

rien compris
 
Montre nous le resultat que tu souhaiterais obtenir et ou se trouve chaque  donnée sur la ligne de log...

 
Voici un exemple de Log :
 
May 15 15:21:04 srv-nt10.XXX.XX security[success] 528 XXX\administrateur  Ouverture de session réseau réussie :    Utilisateur : administrateur    Domaine : XXX    Id. de la session : (0x0,0x24A09FAA)    Type de session : 10    Processus de session : User32      Package d'authentification : Negotiate    Station de travail : SRV-NT10    GUID d'ouv. de session : {a675ddcb-7e7e-fcfa-9bf0-3ec68c8c1627}    Nom de l'utilisateur appelant : SRV-NT10$    Domaine appelant : XXX    Id. de session de l'aplant : (0x0,0x3E7)    ID de processus appelant : 13852    Services en transit : -   Adresse réseau source : 192.168.XX.XXX Port source : 34717  
 
Voila je voudrais que les mots en vert soit matché

D'accord MAIS QUE CE QUE TU VEUX COMME RESULTAT???
savoir combien il y a de ligne avec SVR-NT10 ou savoir combien de fois il y a l'ip 192.168.1.2 ou ...

éhéhéh ! désolé j'avais pas bien compris
Je voudrais savoir dans un 1er temps savoir combien de ligne possede les 3 premier parametre en VERT.
Et dans un 2nd temps je voudrais lister Chaque IP (avec le nombre de connexions) répondant aux 1eres conditions.

Et pose les questions sur ce que tu comprends pas.
Attention la regex exacte est

Le code ne compile pas...
 
Je ne comprends pas ces termes :  
 -     ([^ ]+?)
 
 -  #$res{$1} = {};
     }
      $res{$1}{$2}++;
      $res{$1}{'TOTAL'}++;

vire la 1ere ligne:

c'est un copier coller depuis vim qui l'a sorti et qui doit tout faire merder.
Vire également le use Data::Dumper;
Après chez moi ça marche si c'est toujours pas le cas chez toi merci de donner l'erreur assorti
 

C'est un bout de regex qui veut dire: Tout ce qui n'est pas un espace repeté au moins un fois
 

$1 correspond au morceau matché par la 1ere parenthèse de la regex au dessus, dans ce cas le serveur
Dans ma hash resultat (%res), je regarde si il existe une clé correspondant au serveur trouvé.
Si c'est pas le cas, j'initialise la valeur de la hash res pour cette clé avec une hash anonyme.
Ensuite dans cette hash anonyme j'augmente le nombre de fois ou $2 ( qui correspond à l'ip) a été trouvé
et pareil pour total

Voici mon erreur :
 
Scalar found where operator expected at windows_security line 14, near ""SERVEUR $srv Nombre de connexion(s) total :" $res"
        (Missing operator before  $res?)
Global symbol "$res" requires explicit package name at windows_security line 6.
syntax error at windows_security line 14, near ""SERVEUR $srv Nombre de connexion(s) total :" $res"
syntax error at windows_security line 14, near "}."
Missing right curly or square bracket at windows_security line 48, at end of line
Execution of windows_security aborted due to compilation errors.

donc tu as modifié mon code  
Dans ces cas là reposte le qu'on soit sur de parler de la même chose.
 
Néanmoins je pense que tu as oublié un point là:

j'ai repris ton code initial eet c bon il compile bien parcontre lors de l'execution de Logwatch, rien n'est matché pour le service.

Quelqu'un pourrait il me renseigner ?!
 
Voila commande suivante :
(srv-nt\d{1,2}|srv010-nt\d{1,2}).*\[error\].*(\d{1,5})
ne match pas le texte suivant :
srv010-nt13.rld.fr ntds kcc[error] 1311 AUTORITE......
 
Voila merci !