我無法理解我在這個syslog-ng過濾器中缺少的東西。這一切 首先是日誌消息:Syslog格式和系統日誌過濾器
<22>Nov 3 09:57:44 logon avaya: 2015/11/03 09:57:44,00:00:01,1,0,103456456156,I,#AA:Poa,1231231123231,,0,1017121,0,T9002,Line 2.1,V9542,VM Channel 42,0,0,,,,,,,,,,,,,
,這是syslog-ng的配置過濾器:
filter f_avaya{
program("avaya");
};
在調試模式下運行syslog-ng的我看到這消息不匹配過濾器,爲什麼?
可悲答案是:一天的帶餡0日期格式當一天是小於10
<22>Nov 3 09:57:44...
768,16是:
<22>Nov 03 09:57:44...
那麼你可以在https://github.com/balabit/syslog-ng/issues 提交一個關於這個的問題。或者,在syslog-ng OSE 3.7中,你可以用Python編寫自定義分析器,但它並沒有真正記錄然而(我希望在一兩週內完成)。在此之前,這篇博文可以爲您提供一些指導:https://guest.blogs.balabit.com/2015/09/processing-log-messages-with-python-in-syslog-ng/ –
幸運的是,我可以改變它日誌源,我不知道它是否真的是syslog-ng的問題,也許日期格式應該在日期部分填充0 ...我不知道。 – Tobia
有趣的是,日誌工作了幾個星期直到11月1日... – Tobia
您好,大概消息頭由於某種原因未正確解析。 –
當然,但在我看來,這是一種有效的格式... – Tobia
如果您有最近的syslog-ng版本,可以嘗試以JSON格式輸出消息以查看每個宏,或者只需創建一個帶有消息標題,以查看出錯的地方。 還是有可能源有標誌(無分析)設置? –