forum.opennet.ru - "rsyslog, фильтрация сообщений" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"rsyslog, фильтрация сообщений"

Форум Открытые системы на сервере (Мониторинг, логи / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"rsyslog, фильтрация сообщений"	+/–
Сообщение от sacift on 27-Авг-12, 14:50
Добрый день. event to syslog отправляет сообщения на хост с rsyslog rsyslog принимает ввиде: Aug 27 16:36:08 SERVER Service_Control_Manager: 7036: Служба "Backup Exec Remote Agent for Windows Servers" перешла в состояние Остановлена. секция для сервера настроена примерно так: !* +SERVER :hostname, contains, "SERVER" -/var/log/windowshost/SERVER/sysdaemons.log :hostname, contains, "SERVER" ~ :syslogfacility-text, contains, "Service_Control_Manager" -/var/log/windowshost/SERVER/Service_Control_Manager.log :syslogfacility-text, contains, "Service_Control_Manager" ~ +* так вот в /var/log/windowshost/SERVER/sysdaemons.log валятся все логи, а в /var/log/windowshost/SERVER/Service_Control_Manager.log пусто..... пробовал разные комбинации и с регулрными выражениями..... подскажите где ошибся? :)
Ответить \| Правка \| Cообщить модератору

Оглавление

rsyslog, фильтрация сообщений, Etch, 17:39 , 27-Авг-12, (1)

rsyslog, фильтрация сообщений, sacift, 07:10 , 28-Авг-12, (2)

rsyslog, фильтрация сообщений, Etch, 10:07 , 28-Авг-12, (3)

rsyslog, фильтрация сообщений, sacift, 10:53 , 28-Авг-12, (4)

rsyslog, фильтрация сообщений, sacift, 11:05 , 28-Авг-12, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "rsyslog, фильтрация сообщений" +/–

Сообщение от Etch on 27-Авг-12, 17:39

Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже строку:
:hostname, contains, "SERVER" ~

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "rsyslog, фильтрация сообщений" +/–

Сообщение от sacift on 28-Авг-12, 07:10

> Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже
> строку:
> :hostname, contains, "SERVER" ~
все равно не пишет события, может не фильтрует по значению?
если фильтр ставлю для :msg все нормально срабатывает,
а мне нужно фильтровать именно по значениею "Service_Control_Manager", которое в msg не попадает, и явно это не TAG.
если в event to syslog ставлю TAG в строку лога добавляется SERVER:
возможно свойство не верно выбираю?

проверял ещё через конструкцию if условие then файл лога тоже самое..

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "rsyslog, фильтрация сообщений" +/–

Сообщение от Etch on 28-Авг-12, 10:07

Попробуйте
if $syslogtag startswith 'Service_Control_Manager:' then /var/log/windowshost/SERVER/Service_Control_Manager.log
или
:syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "rsyslog, фильтрация сообщений" +/–

Сообщение от sacift on 28-Авг-12, 10:53

> Попробуйте
> if $syslogtag startswith 'Service_Control_Manager:' then /var/log/windowshost/SERVER/Service_Control_Manager.log
> или
> :syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log
хм, заработало... а ведь пробовал что-то подобное..
спасибо

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "rsyslog, фильтрация сообщений" +/–

Сообщение от sacift on 28-Авг-12, 11:05

если кому интересно получилось что-то вроде этого:
!*
+SERVER1
:syslogtag, startswith, "Service_Control_Manager:" -/var/log/windowshost/SERVER1/Service_Control_Manager.log
:syslogtag, startswith, "Service_Control_Manager:" ~
:syslogtag, startswith, "GroupPolicy:" -/var/log/windowshost/SERVER1/GroupPolicy.log
:syslogtag, startswith, "GroupPolicy:" ~
:syslogtag, startswith, "Security-Auditing:" -/var/log/windowshost/SERVER1/Security-Auditing.log
:syslogtag, startswith, "Security-Auditing:" ~
:syslogtag, startswith, "User_Profiles_Service:" -/var/log/windowshost/SERVER1/User_Profiles_Service.log
:syslogtag, startswith, "User_Profiles_Service:" ~
:syslogtag, startswith, "Winlogon:" -/var/log/windowshost/SERVER1/Winlogon.log
:syslogtag, startswith, "Winlogon:" ~
:syslogtag, startswith, "Folder_Redirection:" -/var/log/windowshost/SERVER1/Folder_Redirection.log
:syslogtag, startswith, "Folder_Redirection:" ~
:syslogtag, startswith, "LsaSrv:" -/var/log/windowshost/SERVER1/LsaSrv.log
:syslogtag, startswith, "LsaSrv:" ~
:syslogtag, startswith, "Desktop_Window_Manager:" -/var/log/windowshost/SERVER1/Desktop_Window_Manager.log
:syslogtag, startswith, "Desktop_Window_Manager:" ~
:syslogtag, startswith, "FilterManager:" -/var/log/windowshost/SERVER1/FilterManager.log
:syslogtag, startswith, "FilterManager:" ~
:syslogtag, startswith, "MsiInstaller:" -/var/log/windowshost/SERVER1/MsiInstaller.log
:syslogtag, startswith, "MsiInstaller:" ~
:syslogtag, startswith, "Application_Popup:" -/var/log/windowshost/SERVER1/Application_Popup.log
:syslogtag, startswith, "Application_Popup:" ~
:hostname, contains, "SERVER1" -/var/log/windowshost/SERVER1/sysdaemons.log
:hostname, contains, "SERVER1" ~
+*
события не отфильтрованные попадают в /var/log/windowshost/SERVER1/sysdaemons.log

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "rsyslog, фильтрация сообщений"	+/–
Сообщение от Etch on 27-Авг-12, 17:39
Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже строку: :hostname, contains, "SERVER" ~
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "rsyslog, фильтрация сообщений"	+/–
	Сообщение от sacift on 28-Авг-12, 07:10
	> Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже > строку: > :hostname, contains, "SERVER" ~ все равно не пишет события, может не фильтрует по значению? если фильтр ставлю для :msg все нормально срабатывает, а мне нужно фильтровать именно по значениею "Service_Control_Manager", которое в msg не попадает, и явно это не TAG. если в event to syslog ставлю TAG в строку лога добавляется SERVER: возможно свойство не верно выбираю? проверял ещё через конструкцию if условие then файл лога тоже самое..
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "rsyslog, фильтрация сообщений"	+/–
	Сообщение от Etch on 28-Авг-12, 10:07
	Попробуйте if $syslogtag startswith 'Service_Control_Manager:' then /var/log/windowshost/SERVER/Service_Control_Manager.log или :syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "rsyslog, фильтрация сообщений"	+/–
	Сообщение от sacift on 28-Авг-12, 10:53
	> Попробуйте > if $syslogtag startswith 'Service_Control_Manager:' then /var/log/windowshost/SERVER/Service_Control_Manager.log > или > :syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log хм, заработало... а ведь пробовал что-то подобное.. спасибо
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "rsyslog, фильтрация сообщений"	+/–
	Сообщение от sacift on 28-Авг-12, 11:05
	если кому интересно получилось что-то вроде этого: !* +SERVER1 :syslogtag, startswith, "Service_Control_Manager:" -/var/log/windowshost/SERVER1/Service_Control_Manager.log :syslogtag, startswith, "Service_Control_Manager:" ~ :syslogtag, startswith, "GroupPolicy:" -/var/log/windowshost/SERVER1/GroupPolicy.log :syslogtag, startswith, "GroupPolicy:" ~ :syslogtag, startswith, "Security-Auditing:" -/var/log/windowshost/SERVER1/Security-Auditing.log :syslogtag, startswith, "Security-Auditing:" ~ :syslogtag, startswith, "User_Profiles_Service:" -/var/log/windowshost/SERVER1/User_Profiles_Service.log :syslogtag, startswith, "User_Profiles_Service:" ~ :syslogtag, startswith, "Winlogon:" -/var/log/windowshost/SERVER1/Winlogon.log :syslogtag, startswith, "Winlogon:" ~ :syslogtag, startswith, "Folder_Redirection:" -/var/log/windowshost/SERVER1/Folder_Redirection.log :syslogtag, startswith, "Folder_Redirection:" ~ :syslogtag, startswith, "LsaSrv:" -/var/log/windowshost/SERVER1/LsaSrv.log :syslogtag, startswith, "LsaSrv:" ~ :syslogtag, startswith, "Desktop_Window_Manager:" -/var/log/windowshost/SERVER1/Desktop_Window_Manager.log :syslogtag, startswith, "Desktop_Window_Manager:" ~ :syslogtag, startswith, "FilterManager:" -/var/log/windowshost/SERVER1/FilterManager.log :syslogtag, startswith, "FilterManager:" ~ :syslogtag, startswith, "MsiInstaller:" -/var/log/windowshost/SERVER1/MsiInstaller.log :syslogtag, startswith, "MsiInstaller:" ~ :syslogtag, startswith, "Application_Popup:" -/var/log/windowshost/SERVER1/Application_Popup.log :syslogtag, startswith, "Application_Popup:" ~ :hostname, contains, "SERVER1" -/var/log/windowshost/SERVER1/sysdaemons.log :hostname, contains, "SERVER1" ~ +* события не отфильтрованные попадают в /var/log/windowshost/SERVER1/sysdaemons.log
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору