The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"rsyslog, фильтрация сообщений"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Мониторинг, логи / Linux)
Изначальное сообщение [ Отслеживать ]

"rsyslog, фильтрация сообщений"  +/
Сообщение от sacift on 27-Авг-12, 14:50 
Добрый день.

event to syslog отправляет сообщения на хост с rsyslog
rsyslog принимает ввиде:

Aug 27 16:36:08 SERVER Service_Control_Manager: 7036: Служба "Backup Exec Remote Agent for Windows Servers" перешла в состояние Остановлена.

секция для сервера настроена примерно так:

!*
+SERVER
:hostname, contains, "SERVER" -/var/log/windowshost/SERVER/sysdaemons.log
:hostname, contains, "SERVER" ~
:syslogfacility-text, contains, "Service_Control_Manager" -/var/log/windowshost/SERVER/Service_Control_Manager.log
:syslogfacility-text, contains, "Service_Control_Manager" ~
+*

так вот в /var/log/windowshost/SERVER/sysdaemons.log валятся все логи, а в /var/log/windowshost/SERVER/Service_Control_Manager.log пусто.....

пробовал разные комбинации и с регулрными выражениями.....
подскажите где ошибся? :)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "rsyslog, фильтрация сообщений"  +/
Сообщение от Etch on 27-Авг-12, 17:39 
Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже строку:

:hostname, contains, "SERVER" ~

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "rsyslog, фильтрация сообщений"  +/
Сообщение от sacift on 28-Авг-12, 07:10 
> Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже
> строку:
> :hostname, contains, "SERVER" ~

все равно не пишет события, может не фильтрует по значению?
если фильтр ставлю для :msg все нормально срабатывает,
а мне нужно фильтровать именно по значениею "Service_Control_Manager", которое в msg не попадает, и явно это не TAG.
если в event to syslog ставлю TAG в строку лога добавляется SERVER:
возможно свойство не верно выбираю?


проверял ещё через конструкцию if условие then файл лога тоже самое..

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "rsyslog, фильтрация сообщений"  +/
Сообщение от Etch on 28-Авг-12, 10:07 
Попробуйте

if $syslogtag startswith 'Service_Control_Manager:' then   /var/log/windowshost/SERVER/Service_Control_Manager.log
или
:syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "rsyslog, фильтрация сообщений"  +/
Сообщение от sacift on 28-Авг-12, 10:53 
> Попробуйте
> if $syslogtag startswith 'Service_Control_Manager:' then   /var/log/windowshost/SERVER/Service_Control_Manager.log
> или
> :syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log

хм, заработало... а ведь пробовал что-то подобное..

спасибо

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "rsyslog, фильтрация сообщений"  +/
Сообщение от sacift on 28-Авг-12, 11:05 
если кому интересно получилось что-то вроде этого:

!*
+SERVER1
:syslogtag, startswith, "Service_Control_Manager:" -/var/log/windowshost/SERVER1/Service_Control_Manager.log
:syslogtag, startswith, "Service_Control_Manager:" ~
:syslogtag, startswith, "GroupPolicy:" -/var/log/windowshost/SERVER1/GroupPolicy.log
:syslogtag, startswith, "GroupPolicy:" ~
:syslogtag, startswith, "Security-Auditing:" -/var/log/windowshost/SERVER1/Security-Auditing.log
:syslogtag, startswith, "Security-Auditing:" ~
:syslogtag, startswith, "User_Profiles_Service:" -/var/log/windowshost/SERVER1/User_Profiles_Service.log
:syslogtag, startswith, "User_Profiles_Service:" ~
:syslogtag, startswith, "Winlogon:" -/var/log/windowshost/SERVER1/Winlogon.log
:syslogtag, startswith, "Winlogon:" ~
:syslogtag, startswith, "Folder_Redirection:" -/var/log/windowshost/SERVER1/Folder_Redirection.log
:syslogtag, startswith, "Folder_Redirection:" ~
:syslogtag, startswith, "LsaSrv:" -/var/log/windowshost/SERVER1/LsaSrv.log
:syslogtag, startswith, "LsaSrv:" ~
:syslogtag, startswith, "Desktop_Window_Manager:" -/var/log/windowshost/SERVER1/Desktop_Window_Manager.log
:syslogtag, startswith, "Desktop_Window_Manager:" ~
:syslogtag, startswith, "FilterManager:" -/var/log/windowshost/SERVER1/FilterManager.log
:syslogtag, startswith, "FilterManager:" ~
:syslogtag, startswith, "MsiInstaller:" -/var/log/windowshost/SERVER1/MsiInstaller.log
:syslogtag, startswith, "MsiInstaller:" ~
:syslogtag, startswith, "Application_Popup:" -/var/log/windowshost/SERVER1/Application_Popup.log
:syslogtag, startswith, "Application_Popup:" ~
:hostname, contains, "SERVER1" -/var/log/windowshost/SERVER1/sysdaemons.log
:hostname, contains, "SERVER1" ~
+*

события не отфильтрованные попадают в /var/log/windowshost/SERVER1/sysdaemons.log

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру