我无法理解我在这个syslog-ng过滤器中缺少的东西。这一切 首先是日志消息:Syslog格式和系统日志过滤器
<22>Nov 3 09:57:44 logon avaya: 2015/11/03 09:57:44,00:00:01,1,0,103456456156,I,#AA:Poa,1231231123231,,0,1017121,0,T9002,Line 2.1,V9542,VM Channel 42,0,0,,,,,,,,,,,,,
,这是syslog-ng的配置过滤器:
filter f_avaya{
program("avaya");
};
在调试模式下运行syslog-ng的我看到这消息不匹配过滤器,为什么?
可悲答案是:一天的带馅0日期格式当一天是小于10
<22>Nov 3 09:57:44...
768,16是:
<22>Nov 03 09:57:44...
那么你可以在https://github.com/balabit/syslog-ng/issues 提交一个关于这个的问题。或者,在syslog-ng OSE 3.7中,你可以用Python编写自定义分析器,但它并没有真正记录然而(我希望在一两周内完成)。在此之前,这篇博文可以为您提供一些指导:https://guest.blogs.balabit.com/2015/09/processing-log-messages-with-python-in-syslog-ng/ –
幸运的是,我可以改变它日志源,我不知道它是否真的是syslog-ng的问题,也许日期格式应该在日期部分填充0 ...我不知道。 – Tobia
有趣的是,日志工作了几个星期直到11月1日... – Tobia
您好,大概消息头由于某种原因未正确解析。 –
当然,但在我看来,这是一种有效的格式... – Tobia
如果您有最近的syslog-ng版本,可以尝试以JSON格式输出消息以查看每个宏,或者只需创建一个带有消息标题,以查看出错的地方。 还是有可能源有标志(无分析)设置? –