Information: Forum is in read-only mode
For details and other support options see https://www.adiscon.com/news/support-forum-set-to-read-only-mode/

RainerScript, Expressions und Remote Logging

This is a German-language forum for those that prefer this language. For broader audience (and quicker replies) post to the English forums if you feel comfortable enough with that.

Dies ist ein deutschsprachiges rsyslog Forum. Hier gibt es keine weitere Unterteilung wie in den Englischen Foren. Wer sich bei Deutsch wohler fühlt, der Poste hier. Man bedanke aber, das Antworten hier ob der geringeren Teilnehmerzahl länger dauern können.

Moderator: alorbach

Google Ads


RainerScript, Expressions und Remote Logging

Postby RSchulz » Tue Jan 20, 2015 5:05 pm

Hallo!

Ich muss unsere bisherige syslog Konfig von syslog-ng auf rsyslog übertragen, daher fehlt mir noch die Erfahrung mit rsyslog, ich hoffe Ihr könnt mir dabei helfen.

Ich muss einen grossteil aller syslog Meldungen auf einen zentralen Syslog Server schicken, bestimmte Meldungen dürfen wiederrum nicht dorthin geschickt werden.
Der rsyslog ist ein 5.8.11 auf Debian 7.
Die /etc/rsyslog.conf enthält ein
Code: Select all
$IncludeConfig /etc/rsyslog.d/*.conf

Darin habe ich, unteranderem, folgendes erstellt:

Code: Select all
if not ( \
        # f_sudolog
        #  wird oben schon aus der Verarbeitung entfernt.

        # f_mailinfo
        ( $syslogfacility-text == 'mail' and $syslogseverity-text == 'info' ) or \

        # f_newsnotice
        ( $syslogfacility-text == 'news' and  ( $syslogseverity-text == 'info' or $syslogseverity-text == 'notice' )) or \

        # f_local
        (       $syslogfacility-text == 'local0' or \
                $syslogfacility-text == 'local1' or \
                $syslogfacility-text == 'local2' or \
                $syslogfacility-text == 'local3' or \
                $syslogfacility-text == 'local4' or \
                $syslogfacility-text == 'local5' or \
                $syslogfacility-text == 'local6' or \
                $syslogfacility-text == 'local7' \
        ) or \

        # f_acpid_
        ( $syslogfacility-text == 'daemon' and  ( $msg contains_i 'acpid' or $programname 'snmpd' )) or \

        # f_netmgm, bei RedHat auf Korrektheit pruefen (RS)
        ( $msg contains_i 'NetworkManager:' )\


        # f_iptables_accept
        # wird nicht benoetigt, da Shorewall "ACCEPT" nicht loggt, siehe policy, (RS)

) then @195.xxx.xxx.5
& /var/log/logserver


Leider wird die Action "@..." als Syntax Fehler eingestuft, mit einer Datei geht es.

Wie mache ich das richtig? ;-)

Vielen Dank für die Hilfe
Reiner
RSchulz
New
 
Posts: 2
Joined: Tue Jan 20, 2015 4:53 pm

Urgent Question?

  • Pulling out your Hair?
  • Wasting Time and Money?
  • Deadline Approaching?

Google Ads


Return to Deutsches rsyslog Forum

Who is online

Users browsing this forum: No registered users and 0 guests

cron