我已配置审计服务器以将日志转发到集中式rsyslog服务器。有没有办法在日志消息中配置服务器类型或一组服务器的唯一内容?我已将name_format设置为“user”并将name设置为唯一字符串,但这一个只显示在审核日志中,而不显示在rsyslog中。我在下面列出了审计和rsyslog消息。
审计: node = TEST_SRVR type = USER_END msg = audit(xxx.xx:2719):user pid = 7589 uid = 0 auid = 0 ses = 394 subj = system_u:system_r:crond_t:s0-s0:c0 .c1023 msg ='op = PAM:session_close acct =“root”exe =“/ usr / sbin / crond”hostname =?地址=? terminal = cron res =成功'
中央rsyslog: XXX:audispd用户xxxx 10月23日15:55:02 6 node = xxxx type = USER_END msg = audit(xxx.xx:2719):user pid = 7589 uid = 0 auid = 0 ses = 394 subj = system_u:system_r:crond_t :s0-s0:c0.c1023 msg ='op = PAM:session_close acct =“root”exe =“/ usr / sbin / crond”hostname =?地址=? terminal = cron res =成功'
“node”的值在两个日志中是不同的。有没有办法用独特的字符串替换“audispd用户”?
感谢。
答案 0 :(得分:0)
是的,您可以使用templates来格式化您的邮件。默认情况下,使用RFC3164模板(this one),但您可以使用所需的常量或属性添加“msg”部分。例如,它可以是常量(value =“test_group”)。
请注意,定义模板的详细方式在rsyslog 7.x或更高版本中有效。向下滚动查看旧版格式,但我真的建议升级。
虽然如果要移动结构化日志,可能值forwarding them in JSON和/或making rsyslog parse unstructured data into JSON,以便您可以根据需要在模板和条件中使用此JSON的各个部分。我将两篇文章与一些例子联系起来。