Syslog-Ng filtern

08/07/2008 - 11:19 von Peter Müller | Report spam
Hallo,

Mit syslog-ng filtere ich Logdaten meines Routers. Leider stehen in der
Logdatei dann ein paar Daten doppelt.

Hier ein Beispiel:

Jul 8 09:12:14 192.168.1.254 Tue Jul 08 09:13:48 2008 BM_Gate System Log:
Blocked incoming ICMP packet (ICMP type 8) from .

Das Datum und die IP-Adresse (Jul 8 09:12:14 192.168.1.254 ) hàtte ich
gerne nicht im Log da sie nochmals vom Router übertragen werden.

In den Manpages habe ich keinen Hinweis darauf gefunden, wie ich die
Eintràge modifizieren kann.
Geht das?
Und wenn ja, wer gibt mir bitte einen Tipp? (Link zum nachlesen genügt).


Danke für Eure Hilfe

Es grüßt
Peter
 

Lesen sie die antworten

#1 Wilhelm Greiner
10/07/2008 - 11:09 | Warnen spam
Hi,
* Peter Müller ülltonne.de> schrieb:
Mit syslog-ng filtere ich Logdaten meines Routers. Leider stehen in der
Logdatei dann ein paar Daten doppelt.
Hier ein Beispiel:
Jul 8 09:12:14 192.168.1.254 Tue Jul 08 09:13:48 2008 BM_Gate System Log:
Blocked incoming ICMP packet (ICMP type 8) from .



Also da ist ein Konfigurationsproblem, es sind dann mehrere destinations
für das selbe File angegeben, unter Umstànden sieht man das auch als Warnung,
wenn man syslog-ng -s aufruft, syslog wird nid neu gestartet, nur Config
test.
Auch hinzubekommen wenn man mehrere verschiedene Filter auf die gleiche
Destination loggen làsst, und beide haben die gleiche Zieldatei...

Das Datum und die IP-Adresse (Jul 8 09:12:14 192.168.1.254 ) hàtte ich
gerne nicht im Log da sie nochmals vom Router übertragen werden.
In den Manpages habe ich keinen Hinweis darauf gefunden, wie ich die
Eintràge modifizieren kann.
Geht das?



So weit ich weiss geht das nicht, der syslog-ng hàngt seine Zeit immer
dann vorne ran, wenn die Zeit welche mitgeliefert wird nicht in einem
bestimmtem Format vorliegt, die Zeit im Logeintrag ist dann einfach mit
im Log Content drinne.
Man müsste vermutlich auf den Clients, also den Routern diese Einstellung
àndern, bei Home Equipment geht das oft aber garnicht, man kann also
nicht viel daran àndern.

Syslog-ng kann aber jeden Log Eintrag an ein Script übergeben (auch als
Stream geht so weit ich weiss), das Script müsste den Eintrag dann bearbeiten,
ob sich da der Aufwand lohnt ist die Frage...

Und wenn ja, wer gibt mir bitte einen Tipp? (Link zum nachlesen genügt).



Die Syslog-ng Homepage hat gescheite Dokumentation.

http://www.balabit.com/network-security/syslog-ng/

Wilhelm

Ähnliche fragen