PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Frage zu syslog-ng-Filterung und Weiterleitung ?



crackerjack
07.09.12, 14:51
Hallo zusammen,

ich habe eine kurze Frage und hoffe, der ein oder andere kann mir weiterhelfen ...

Ich habe folgendes Problem:
mein Linux-Server A bekommt sehr viele (für mich überflüssige) Meldungen ins messages-log geschrieben.


...Sep 7 14:40:01 Servername sshd[684]: Accepted publickey for xxx from <IP> port 53407 ssh2


Um das Log nicht vollzumüllen, habe ich die syslog-ng.conf dementsprechend konfiguriert, sodaß die Meldungen jetzt gefiltert und in eine extra Datei geschrieben werden.
Hier mal meine Einträge in die syslog-ng.conf, die Ergänzungen bzw. Neueinträge in rot



...
filter f_messages { not facility(news, mail) and not filter(f_iptables) and not filter(f_publickey); };
filter f_publickey { match(publickey); };
...
als letztes der Eintrag:
# Logfile for publickey-messages
destination publickey { file("/var/log/publickey"); };
log { source(src); filter(f_publickey); destination(publickey); };


Das funktioniert auch soweit ganz gut -
jetzt ist es aber so, daß die stündlichen "Statusmeldungen" vom syslog nicht mehr im messages-log sondern auch in der extra Datei auftauchen ...

Da der Server seine Meldungen zusätzlich an einen Log-Server schickt, tauchen dort natürlich auch die Statusmeldungen nicht mehr auf ... was nicht sein sollte.

Hat jemand eine Idee, woran das liegt, oder habe ich da was falsch konfiguriert ... :confused:

Danke im voraus für eure Hilfe.
viele Grüße

zyrusthc
07.09.12, 15:12
Währe noch interessant zu wissen wie die "stündlichen Statusmeldungen" aussehen?!
Ein anderer Ansatz währe das LogLevel herabzusetzen aufs wesentliche.


Greeeez Oli

crackerjack
10.09.12, 07:30
also das sind die stündlichen "Statusmeldungen" vom syslog selber;
oder jenachdem was für ein Wert eingestellt ist ...



Sep 10 06:58:48 <Servername> syslog-ng[1871]: Log statistics; dropped='udp(AF_INET(xxx.xx.xxx.xx:514))=0', processed='cen
ter(queued)=2795', processed='center(received)=968', processed='destination(messages)=908', processed='destination(mailinfo
)=60', processed='destination(mailwarn)=0', processed='destination(logserver)=968', processed='destination(publickey)=799',
processed='destination(localmessages)=0', processed='destination(mailerr)=0', processed='destination(newserr)=0', processe
d='destination(netmgm)=0', processed='destination(warn)=0', processed='destination(console)=0', processed='destination(null
)=0', processed='destination(mail)=60', processed='destination(xconsole)=0', processed='destination(firewall)=0', processed
='destination(acpid)=0', processed='destination(newscrit)=0', processed='destination(newsnotice)=0', processed='source(src)
=968'