combr Опубликовано 23 ноября, 2017 (изменено) · Жалоба Здравствуйте. У меня есть syslog-ng, где надо настроить фильтрацию поступающих сообщений по полю host. с SNR-S2990G-24TX SoftWare Version 7.0.3.5(R0102.0233) это почему-то не работает. правило filter f_snr-8ecf-193 { host("SNR-8ECF-193"); }; сообщение Facility local0 (16), Severity warning (4) Msg: SNR-8ECF-193 %Nov 23 09:07:13 2017 [zIMI]:[Telnet/SSH] admin@172.16.52.1:38412, no logging loghost sequence-number Для другого свитча работает такое: filter f_ecs-f029-173 { host("ECS4110-F029-173"); }; Facility local7 (23), Severity info (6) Msg: Nov 23 09:06:49 ECS4110-F029-173 SNMP: CPU rising trap. Видно, что порядок полей в сообщении от SNR другой (хост, дата вместо дата, хост) Хотя пишут, что они есть и в заголовке: " the HEADER section contains a timestamp and the hostname or IP address of the device " Есть еще заброшенная, неотвеченная тема такая: https://forum.nag.ru/index.php?/topic/123153-snr-2990g-24fx-vs-syslog/ Можете пояснить, что шлет SNR и как это фильтровать? или по Host это невозможно, надо только по IP? в конфиге: logging 172.27.214.123 level informational logging executed-commands enable еще пробовал logging loghost sequence-number с ним : Msg: 000952: SNR-8ECF-193 %Nov 23 09:06:20 2017 [zIMI]:[Telnet/SSH] admin@172.16.52.1:38412, sh ip interface brief\0x0a logging loghost source-ip <такой-то>, с ним было так 000908: SNR-8ECF-193[172.27.30.193] %Nov 22 16:27:24 2017 MODULE_PORT Но фильтр по host() все равно не работает. Изменено 24 ноября, 2017 пользователем combr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 24 ноября, 2017 · Жалоба Здравствуйте. Вероятно фильтрация по полю hostname в стандартном шаблоне не работает из-за отсутствия Timestamp как отдельное поле в header syslog, передаваемом SNR. В приведенном вами работающем примере с другого коммутатора судя по всему также отсутствует Timestamp, а hostname помещен в поле msg. Как выход из ситуации - фильтровать по содержимому поля MSG, либо действительно по IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
combr Опубликовано 30 ноября, 2017 · Жалоба А какие-либо изменения в работе SNR планируются на тему соотвествия отправляемого в удаленный лог тому, что ожидает rsyslog, syslog-ng и другие системы сбора логов ? (сейчас есть разные системы мониторинга на основе сбора логов. например Logstash). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Tarasenko Опубликовано 30 ноября, 2017 · Жалоба combr, мы ведем диалог с разработчиками по доработке формата логов, о каких-то конкретных сроках говорить пока рано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
combr Опубликовано 30 ноября, 2017 · Жалоба Посмотрел сейчас еще раз что отправляет свитч. свитч SNR : $HOST - ip адрес, $SOURCEIP - ip адрес другой свитч: $HOST - hostname, $SOURCEIP - ip адрес Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
