У меня есть проблема с получением удаленных журналов из системного-журнала-ng OSE к системному-журналу-ng OSE. Я настраиваю loghost и в теперь - я, как никакая идея, что я делаю неправильно. Кажется, что фильтры не работают на полученные журналы от удаленных хостов.
Это - часть моей конфигурации, связанной с loghost:
Клиент (системный-журнал-ng 3.3.5) (это работает хорошее, потому что журналы достигают loghost - я выполнил его в режиме отладки, таким образом, я смог подтвердить это),
destination d_net { syslog("10.20.8.2" transport ("tcp") port(514) ); };
filter f_auth { facility(auth, authpriv) and not filter(f_debug); };
log { source(s_src); filter(f_auth); destination(d_net); };
и сервер (системный-журнал-ng 3.2.5 - моя часть системного-журнала-ng.conf сервера:
source s_network { tcp(); udp(); };
destination d_loghost_auth { file("/opt/logs/sys/$YEAR-$MONTH-$DAY/auth.log" create_dirs(yes) ); };
filter f_loghost_auth { facility(auth) or facility(authpriv) };
log { source(s_network); filter(f_loghost_auth); destination(d_loghost_auth); };
таким образом, когда я выполняю сервер в отладке и подробном режиме и тестирую его с регистратором (от клиента):
logger -n 10.20.8.2 -p auth.info "auth.info test syslog"
я получаю это:
Incoming log entry; line='95 <38>1 2014-12-17T13:03:16+01:00 ibanez logger - - [meta sequenceId="65"] auth.info test syslog'
Filter rule evaluation begins; filter_rule='f_loghost_auth'
Filter node evaluation result; filter_result='not-match', filter_type='facility'
Filter node evaluation result; filter_result='not-match', filter_type='facility'
Filter node evaluation result; filter_result='not-match', filter_type='OR'
Filter rule evaluation result; filter_result='not-match', filter_rule='f_loghost_auth'
Я не думаю, что несоответствие версии является причиной. Я буду ценить любой вид справки!
Проблема заключалась в том, что я использовал исходный драйвер tcp () и udp () [формат BSD] вместо syslog () [формат IETF]. Сейчас он работает.