combr Posted November 23, 2017 Posted November 23, 2017 (edited) Здравствуйте. У меня есть syslog-ng, где надо настроить фильтрацию поступающих сообщений по полю host. с SNR-S2990G-24TX SoftWare Version 7.0.3.5(R0102.0233) это почему-то не работает. правило filter f_snr-8ecf-193 { host("SNR-8ECF-193"); }; сообщение Facility local0 (16), Severity warning (4) Msg: SNR-8ECF-193 %Nov 23 09:07:13 2017 [zIMI]:[Telnet/SSH] admin@172.16.52.1:38412, no logging loghost sequence-number Для другого свитча работает такое: filter f_ecs-f029-173 { host("ECS4110-F029-173"); }; Facility local7 (23), Severity info (6) Msg: Nov 23 09:06:49 ECS4110-F029-173 SNMP: CPU rising trap. Видно, что порядок полей в сообщении от SNR другой (хост, дата вместо дата, хост) Хотя пишут, что они есть и в заголовке: " the HEADER section contains a timestamp and the hostname or IP address of the device " Есть еще заброшенная, неотвеченная тема такая: https://forum.nag.ru/index.php?/topic/123153-snr-2990g-24fx-vs-syslog/ Можете пояснить, что шлет SNR и как это фильтровать? или по Host это невозможно, надо только по IP? в конфиге: logging 172.27.214.123 level informational logging executed-commands enable еще пробовал logging loghost sequence-number с ним : Msg: 000952: SNR-8ECF-193 %Nov 23 09:06:20 2017 [zIMI]:[Telnet/SSH] admin@172.16.52.1:38412, sh ip interface brief\0x0a logging loghost source-ip <такой-то>, с ним было так 000908: SNR-8ECF-193[172.27.30.193] %Nov 22 16:27:24 2017 MODULE_PORT Но фильтр по host() все равно не работает. Edited November 24, 2017 by combr Вставить ник Quote
Ivan Tarasenko Posted November 24, 2017 Posted November 24, 2017 Здравствуйте. Вероятно фильтрация по полю hostname в стандартном шаблоне не работает из-за отсутствия Timestamp как отдельное поле в header syslog, передаваемом SNR. В приведенном вами работающем примере с другого коммутатора судя по всему также отсутствует Timestamp, а hostname помещен в поле msg. Как выход из ситуации - фильтровать по содержимому поля MSG, либо действительно по IP. Вставить ник Quote
combr Posted November 30, 2017 Author Posted November 30, 2017 А какие-либо изменения в работе SNR планируются на тему соотвествия отправляемого в удаленный лог тому, что ожидает rsyslog, syslog-ng и другие системы сбора логов ? (сейчас есть разные системы мониторинга на основе сбора логов. например Logstash). Вставить ник Quote
Ivan Tarasenko Posted November 30, 2017 Posted November 30, 2017 combr, мы ведем диалог с разработчиками по доработке формата логов, о каких-то конкретных сроках говорить пока рано. Вставить ник Quote
combr Posted November 30, 2017 Author Posted November 30, 2017 Посмотрел сейчас еще раз что отправляет свитч. свитч SNR : $HOST - ip адрес, $SOURCEIP - ip адрес другой свитч: $HOST - hostname, $SOURCEIP - ip адрес Вставить ник Quote
luckyloser Posted February 6, 2025 Posted February 6, 2025 Подскажите, имеется graylog для обработки syslog, модели S29** в source отправляли IP интерфейса управляющего VLAN. А вот модели S52** отправляют hostname в поле source. Как настроить чтобы 52** отправляли IP ? Вставить ник Quote
Александр Дюков Posted February 11, 2025 Posted February 11, 2025 @luckyloser Здравствуйте! На данный момент нет возможности изменить формат заголовков пакетов syslog. Добавили запрос в radmap. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.