PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : rsyslog FIlter für bestimmte Einträge



crackerjack
09.05.16, 12:05
Hi @ all,

ich hab mal ne kurze Frage ...

ich habe ein Debian System und schicke alle Einträge die nach /var/log/syslog gehen an einen Remote-Logging-Server ... funktioniert auch alles soweit;

Nun läuft auf dem Server ein Programm, welches sehr viele Einträge ins syslog schreibt, die ich aber nicht auf dem Remote-Logging-Server haben möchte, weil nur Info-Einträge es reicht wenn die auf dem Server in ein anderes Log-File geschrieben werden ...

Jetzt meine Frage:
wie muss der entsprechende Filter lauten, da es unterschiedliche Einträge sind, die aber gleich anfangen ... im Beispiel hier 'osal'
z.B.
May 9 09:57:14 hostname osal-bla1[669]: [May 9 09:57:14] [INFO] [diff] Processing ... usw

May 9 09:57:38 hostname osal-bla2[669]: [May 9 09:57:38] [INFO] [diff] Processing ... usw

mein erster Versuch war ein conf-File unter /etc/rsyslog.d/ mit folgendem Eintrag:

:syslogtag, isequal, "osal-bla*:" /var/log/blah.log
$ stop

aber das funktioniert irgendwie nicht ...

Kann hier vielleicht der ein oder andere weiterhelfen?

Vielen Dank m voraus.
VG

BetterWorld
09.05.16, 15:51
Probier mal den rsyslog (http://www.rsyslog.com/rsyslog-configuration-builder/) Konfig Assi.

crackerjack
10.05.16, 08:52
Danke für den Tip mit dem Assistenten ... ich konnte es aber durch ein wenig 'rumprobieren' lösen ...
falls es mal jemand braucht, hier mein Filtereintrag in /etc/rsyslog.conf im Abschnitt 'RULES':


if $syslogfacility-text == 'DAEMON' and $syslogtag startswith 'osal-' then /var/log/osal.log
& stop