]> gitweb.michael.orlitzky.com - amavis-logwatch.git/log
amavis-logwatch.git
5 years agoCatch "Select failed: Interrupted system call" entries from clamd.
Michael Orlitzky [Wed, 13 Feb 2019 16:25:33 +0000 (11:25 -0500)]
Catch "Select failed: Interrupted system call" entries from clamd.

When a select() call in clamd is interrupted, amavis logs the
following warning:

  ClamAV-clamd: Select failed: Interrupted system call at /usr/sbin/amavisd
  line 8472, <GEN16> line 296., retrying (1)

These are harmless in and of themselves, but we would like to classify
them as warnings. Currently they are unmatched. This commit adds a
pattern for them, moving them from the "Unmatched Entries" heading to
"Miscellaneous warnings" instead. Afterwards, the report looks like,

  24   Miscellaneous warnings --------------------------------
   2      ClamAV-clamd: Select failed: Interrupted system call

5 years agoIgnore "SANITIZED ... NULL byte(s)" messages.
Michael Orlitzky [Fri, 28 Dec 2018 15:01:56 +0000 (10:01 -0500)]
Ignore "SANITIZED ... NULL byte(s)" messages.

Newer versions of the amavisd daemon sanitize NULL bytes within the
body of a message for the benefit of Cyrus IMAP. When it does this,
the number of bytes sanitized is logged. This is an informational
message only as far as I can tell, so it's been added to the list of
messages to ignore.

5 years agoIgnore "will bind to" lines in addition to "bind to" lines.
Michael Orlitzky [Fri, 28 Dec 2018 14:40:36 +0000 (09:40 -0500)]
Ignore "will bind to" lines in addition to "bind to" lines.

In amavisd-new-2.11.0-rc1, the informational "bind to..." messages
were changed to say "will bind to..." instead. This commit updates the
@ignore_list_final regular expression to match both forms.

5 years agoIgnore "no $pid_file configured, not checking it" lines.
Michael Orlitzky [Fri, 28 Dec 2018 14:33:07 +0000 (09:33 -0500)]
Ignore "no $pid_file configured, not checking it" lines.

When no PID file is configured (for example, when amavisd is running
in the foreground), this message is logged. We already ignore the
other types of PID file notifications, so ignore this one too.

5 years agoIgnore all "sd_notify" lines.
Michael Orlitzky [Fri, 28 Dec 2018 14:23:52 +0000 (09:23 -0500)]
Ignore all "sd_notify" lines.

Lines beginning with either "sd_notify:" or "sd_notify (no socket):"
contain information about what is being sent to the systemd
notification socket, if one exists. One such line was already being
ignored, but we don't want any of them. So, the existing
@ignore_list_final entry was expanded to encompass all such messages.

7 years agoIgnore errors from the File::LibMagic describe_filename function.
Michael Orlitzky [Thu, 7 Sep 2017 11:36:39 +0000 (07:36 -0400)]
Ignore errors from the File::LibMagic describe_filename function.

Newer versions of amavisd-new can make use of the File::LibMagic
library (as opposed to the "file" executable) to get information about
attachments. Using the library should be faster, but when it fails, it
does so in a novel way:

  (02859-21) File::LibMagic::describe_filename failed on p003: libmagic
  JPEG image data, Exif standard: [TIFF image data, big-endian,...

This commit adds such lines to the global ignore list, since they
don't provide us with any useful information.

7 years agoCatch mail that is passed UNCHECKED-ENCRYPTED.
Michael Orlitzky [Wed, 6 Sep 2017 13:19:42 +0000 (09:19 -0400)]
Catch mail that is passed UNCHECKED-ENCRYPTED.

Some encrypted mail can pass through the system with a log line like,

  (01495-17) Passed UNCHECKED-ENCRYPTED {RelayedTaggedInbound}, ...

These were unmatched, because the "-ENCRYPTED" suffix is new. One
regular expression and a dictionary have been updated to catch those
lines and dump them into the "unchecked" bin with the rest of the
UNCHECKED lines.

7 years agoIgnore UTF8SMTP lines.
Michael Orlitzky [Thu, 24 Aug 2017 13:05:04 +0000 (09:05 -0400)]
Ignore UTF8SMTP lines.

Lines that look like,

  UTF8SMTP :10024 /var/...: <sender@example.net> -> <rcpt@example.com>
  BODY=8BITMIME SMTPUTF8 Received: from mx.example.com ([127.0.0.1]) by...

were previously unmatched because of the relatively-new "UTF8SMTP".
Similar lines that have "ESMTP" instead of "UTF8SMTP" are already
ignored, so it makes sense to ignore the "UTF8SMTP" lines too.

7 years agoIgnore amavisd-new "starting child processes" notifications.
Michael Orlitzky [Thu, 24 Aug 2017 12:52:18 +0000 (08:52 -0400)]
Ignore amavisd-new "starting child processes" notifications.

Newer versions of amavisd-new log the following constantly:

  sd_notify (no socket): STATUS=Starting child process(es), ready for work.

It's of no use to us, so add it to the global "ignore" list.

7 years agoFix redundant argument to sprintf warning.
Michael Orlitzky [Thu, 24 Aug 2017 12:20:59 +0000 (08:20 -0400)]
Fix redundant argument to sprintf warning.

Perl 5.22 now warns about redundant (i.e. extra) arguments to the
sprintf function. If your format string only has two place-holders but
you pass three place-fillers, you get warned:

  Redundant argument in sprintf at ./amavis-logwatch line 1338...

The issue there was that the format string passed to sprintf was
constructed dynamically; sometimes it would contain two place-holders,
and sometimes three. Three place-fillers were always passed, so when
only two place-holders were used, the warning would be thrown. This was
fixed by testing whether or not there are two or three place-holders,
and passing the appropriate number of place-fillers.

7 years agoFix unescaped left brace warning in monster regex.
Michael Orlitzky [Thu, 24 Aug 2017 12:16:05 +0000 (08:16 -0400)]
Fix unescaped left brace warning in monster regex.

New versions of Perl are starting to complain about unescaped braces
in regular expressions, and supposedly the warning will become a fatal
error in Perl 5.30. This particular warning is,

  Unescaped left brace in regex is deprecated, passed through in regex;
  marked by <-- HERE in m/^(CLEAN|SPAM(?:MY)?|INFECTED \(.*?\)|BANNED \(.*?\)
  |BAD-HEADER(?:-\d)?|UNCHECKED|MTA-BLOCKED|OVERSIZED|OTHER|TEMPFAIL)(?:
  { <-- HERE [^}]+})?, ([^[]+ )?(?:([^<]+) )?[<(](.*?)[>)] -> ([(<].*?[)>]),
  (?:.*Hits: ([-+.\d]+))(?:.* size: (\d+))?(?:.* autolearn=(\w+))?/ at
  /usr/bin/amavis-logwatch line 2286.

and it was fixed by going to line 2286 and putting a backslash before
the left brace.

7 years agoUpstream source.
Michael Orlitzky [Thu, 24 Aug 2017 11:01:40 +0000 (07:01 -0400)]
Upstream source.