 rsyslog, фильтрация сообщений,  sacift, 27-Авг-12, 14:50 [смотреть все]Добрый день.event to syslog отправляет сообщения на хост с rsyslog
rsyslog принимает ввиде: Aug 27 16:36:08 SERVER Service_Control_Manager: 7036: Служба "Backup Exec Remote Agent for Windows Servers" перешла в состояние Остановлена. секция для сервера настроена примерно так: !*
+SERVER
:hostname, contains, "SERVER" -/var/log/windowshost/SERVER/sysdaemons.log
:hostname, contains, "SERVER" ~
:syslogfacility-text, contains, "Service_Control_Manager" -/var/log/windowshost/SERVER/Service_Control_Manager.log
:syslogfacility-text, contains, "Service_Control_Manager" ~
+* так вот в /var/log/windowshost/SERVER/sysdaemons.log валятся все логи, а в /var/log/windowshost/SERVER/Service_Control_Manager.log пусто..... пробовал разные комбинации и с регулрными выражениями.....
подскажите где ошибся? :)
|
- rsyslog, фильтрация сообщений, Etch, 17:39 , 27-Авг-12 (1)
- rsyslog, фильтрация сообщений, sacift, 07:10 , 28-Авг-12 (2)
> Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже
> строку:
> :hostname, contains, "SERVER" ~ все равно не пишет события, может не фильтрует по значению?
если фильтр ставлю для :msg все нормально срабатывает,
а мне нужно фильтровать именно по значениею "Service_Control_Manager", которое в msg не попадает, и явно это не TAG.
если в event to syslog ставлю TAG в строку лога добавляется SERVER:
возможно свойство не верно выбираю?
проверял ещё через конструкцию if условие then файл лога тоже самое..
- rsyslog, фильтрация сообщений, Etch, 10:07 , 28-Авг-12 (3)
- rsyslog, фильтрация сообщений, sacift, 10:53 , 28-Авг-12 (4)
> Попробуйте
> if $syslogtag startswith 'Service_Control_Manager:' then /var/log/windowshost/SERVER/Service_Control_Manager.log
> или
> :syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log хм, заработало... а ведь пробовал что-то подобное.. спасибо
- rsyslog, фильтрация сообщений, sacift, 11:05 , 28-Авг-12 (5)
если кому интересно получилось что-то вроде этого:!*
+SERVER1
:syslogtag, startswith, "Service_Control_Manager:" -/var/log/windowshost/SERVER1/Service_Control_Manager.log
:syslogtag, startswith, "Service_Control_Manager:" ~
:syslogtag, startswith, "GroupPolicy:" -/var/log/windowshost/SERVER1/GroupPolicy.log
:syslogtag, startswith, "GroupPolicy:" ~
:syslogtag, startswith, "Security-Auditing:" -/var/log/windowshost/SERVER1/Security-Auditing.log
:syslogtag, startswith, "Security-Auditing:" ~
:syslogtag, startswith, "User_Profiles_Service:" -/var/log/windowshost/SERVER1/User_Profiles_Service.log
:syslogtag, startswith, "User_Profiles_Service:" ~
:syslogtag, startswith, "Winlogon:" -/var/log/windowshost/SERVER1/Winlogon.log
:syslogtag, startswith, "Winlogon:" ~
:syslogtag, startswith, "Folder_Redirection:" -/var/log/windowshost/SERVER1/Folder_Redirection.log
:syslogtag, startswith, "Folder_Redirection:" ~
:syslogtag, startswith, "LsaSrv:" -/var/log/windowshost/SERVER1/LsaSrv.log
:syslogtag, startswith, "LsaSrv:" ~
:syslogtag, startswith, "Desktop_Window_Manager:" -/var/log/windowshost/SERVER1/Desktop_Window_Manager.log
:syslogtag, startswith, "Desktop_Window_Manager:" ~
:syslogtag, startswith, "FilterManager:" -/var/log/windowshost/SERVER1/FilterManager.log
:syslogtag, startswith, "FilterManager:" ~
:syslogtag, startswith, "MsiInstaller:" -/var/log/windowshost/SERVER1/MsiInstaller.log
:syslogtag, startswith, "MsiInstaller:" ~
:syslogtag, startswith, "Application_Popup:" -/var/log/windowshost/SERVER1/Application_Popup.log
:syslogtag, startswith, "Application_Popup:" ~
:hostname, contains, "SERVER1" -/var/log/windowshost/SERVER1/sysdaemons.log
:hostname, contains, "SERVER1" ~
+* события не отфильтрованные попадают в /var/log/windowshost/SERVER1/sysdaemons.log
|
Версия для распечатки
