无法在 syslog-NG 中正确过滤来自 HP 交换机的 syslog 消息?
syslog messages coming from HP switches cannot be filtered correctly in syslog-NG?
我在过滤来自几个来源(HP 交换机)的消息时遇到了一些问题,我想得到一些建议。
我有一个巨大的 syslog-NG 配置文件,过滤来自许多不同来源(Unix 服务器、NAS 文件管理器、设备等)的消息
我通常使用 host() 函数或 filter(),甚至 program() 来过滤消息。
但是,我无法过滤来自某些 HP 交换机(网络和 san 交换机)的消息,而消息格式似乎是正确的。
例如,我收到的消息如下:
Mar 14 10:40:48 switchname program: message contents here
我创建了一个这样的过滤器(稍后用于日志函数):
filter f_network {
host("switch*");
};
但它不起作用(当所有其他设备都在工作时,对于其他类型的设备)
我也尝试过滤程序名称,同样的问题。
有没有办法对此进行调查并了解它为什么不起作用?
也许消息的格式不同并且主机字段不是这个(我尝试了所有其他字段但未能成功)
当使用 tcpdump 嗅探网络接口时,我可以看到一条正常消息(显然没有隐藏特殊字符或其他字符,但也许我没有使用正确的标志)
有什么方法可以检查吗?
谢谢
问候
这个问题以某种方式解决了(因为优先级)。
我在这里创建了一个新主题,因为我收到了一条更复杂的系统日志消息的另一个错误:unable to filter badly-formatted messages in syslog-ng
我在过滤来自几个来源(HP 交换机)的消息时遇到了一些问题,我想得到一些建议。
我有一个巨大的 syslog-NG 配置文件,过滤来自许多不同来源(Unix 服务器、NAS 文件管理器、设备等)的消息
我通常使用 host() 函数或 filter(),甚至 program() 来过滤消息。
但是,我无法过滤来自某些 HP 交换机(网络和 san 交换机)的消息,而消息格式似乎是正确的。
例如,我收到的消息如下:
Mar 14 10:40:48 switchname program: message contents here
我创建了一个这样的过滤器(稍后用于日志函数):
filter f_network {
host("switch*");
};
但它不起作用(当所有其他设备都在工作时,对于其他类型的设备) 我也尝试过滤程序名称,同样的问题。
有没有办法对此进行调查并了解它为什么不起作用? 也许消息的格式不同并且主机字段不是这个(我尝试了所有其他字段但未能成功)
当使用 tcpdump 嗅探网络接口时,我可以看到一条正常消息(显然没有隐藏特殊字符或其他字符,但也许我没有使用正确的标志)
有什么方法可以检查吗?
谢谢 问候
这个问题以某种方式解决了(因为优先级)。
我在这里创建了一个新主题,因为我收到了一条更复杂的系统日志消息的另一个错误:unable to filter badly-formatted messages in syslog-ng