данный это правило logcheck:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ systemd-logind\[[[:digit:]]+\]: New session [[:digit:]]+ of user [^[:space:]]+\.$
и эта запись в журнале:
Mar 19 09:16:09 horst kernel: [3257039.867032] <38>systemd-logind[193047]: New session 24987 of user icinga.
Они, кажется, не соответствуют, к сожалению, я не могу найти, что соответствие (так) управляет для <38> вещь. И да, это, кажется, статическое число.
в RFC 3164 , заголовок 4.1.1 PRI Part описывает функцию <38>. Это средство и серьезность сообщения, объединенные в одно число:
facility * 8 + severity = 38
facility = 4 = "AUTH"
severity = 6 = "INFO"
Этот номер обычно удаляется демоном системного журнала перед записью его в файл.
Лучший способ найти проблему в этом случае - сравнить регулярное выражение со строкой по частям.
Вы не соответствовали ядру :[123.456]
часть:
^\w{3} [ :[:digit:]]{11} [._[:alnum:]-]+ kernel: \[[[:digit:] .-]+\] <38>systemd-logind\[[[:digit:]]+\]: New session [[:digit:]]+ of user [^[:space:]]+\.$