我在过滤来自几个来源(HP交换机)的消息时遇到了一些问题,我想提出一些建议。
我有一个庞大的syslog-NG配置文件,过滤来自许多不同来源(Unix服务器,NAS文件管理器,设备等)的消息。
我通常使用host()函数,filter(),甚至program()来过滤消息。
但是,我无法过滤来自某些HP交换机(网络和san交换机)的消息,而消息格式似乎是正确的。
例如,我正在接收以下消息:
Mar 14 10:40:48 switchname program: message contents here
我创建了一个这样的过滤器(稍后在日志函数中使用):
filter f_network {
host("switch*");
};
但它不起作用(而所有其他人都在工作,对于其他类型的设备) 我也尝试过滤程序名称,同样的问题。
有没有办法对此进行调查,并了解它为什么不起作用? 也许邮件格式不同,主机字段不是这个(我尝试了所有其他字段,并没有设法让它工作)
当使用tcpdump嗅探网络接口时,我可以看到正常的消息(没有特殊字符隐藏或其他,显然,但也许我没有使用正确的标志)
任何检查方式?
感谢 问候
答案 0 :(得分:0)
这个问题以某种方式解决了(因为优先级)。
我在这里提出了一个新主题,我发现了一个更复杂的系统日志消息的另一个错误:unable to filter badly-formatted messages in syslog-ng