In questo post vi ho mostrato una possibile configurazione di swatch per ciò che concerne il monitoraggio delle richieste inoltrate ad un server Web.
Ovviamente tale configurazione è molto simile a quella che attualmente gira sui miei server, ragion per cui ho avuto modo di testarla in modo massiccio. Un effetto colletarale che mi è saltato all’occhio quasi immediatamente riguardava i falsi positivi, ovvero pattern del tutto innocui che swatch mi segnalava come errori HTTP.
Mi spiego meglio. Data una entry del file di log simile alla seguente:
192.168.x.x - jumbo [30/Jul/2012:16:03:20 +0200] "GET /prova.php HTTP/1.1" 200 4036 "https://www.pincopallo.it/prova.php" "Mozilla/5.0 (Windows NT 5.1; rv:14.0) Gecko/20100101 Firefox/14.0.1"
essa mi veniva segnalata come HTTP Forbidden (errore 403) per via del 4036.
Il file di log contenente il giusto codice di errore dovrebbe avere una forma simile alla seguente:
79.55.x.x - jumbo [30/Jul/2012:21:28:53 +0200] "GET /prova.php HTTP/1.1" 403 773 "-" "Mozilla/5.0 (Windows NT 6.1; rv:10.0) Gecko/20100101 Firefox/10.0"
Ovvero il codice di errore è sempre preceduto e seguito da uno spazio vuoto.
Alla luce di tali considerazioni le regex da settare su swatch diventano le seguenti:
#HTTP Forbidden watchfor / 403 / echo mail addresses=vostro.indirizzo@email.it,subject=SWATCH HOME: Access Forbidden #HTTP Not Found watchfor / 404 / echo mail addresses=vostro.indirizzo@email.it,subject=SWATCH HOME: Not Found #HTTP Internal Server Error watchfor / 500 / echo mail addresses=vostro.indirizzo@email.it,subject=SWATCH HOME: Internal Server Error #HTTP OK watchfor / 200 / echo mail addresses=vostro.indirizzo@email.it,subject=SWATCH HOME: Hit OK
Quindi, poichè i pattern da matchare devono essere contenuti all’interno dei due slash (/), è bastato aggiungere uno spazio prima e dopo del codice di errore.
Enjoy.