Я пытаюсь создать (мой первый) фильтр syslog-ng (syslog-ng v3.5.3 в Ubuntu) для пересылки входящих сообщений системного журнала, как показано ниже, во вторичный пункт назначения (10.1.1.12).
I можно увидеть, что конфигурация приводит к изменению поведения - временные метки (частота) отправляются вторичному (целевому) назначению (проверено с помощью tcpdump на сервере syslog-ng). Тем не менее, кажется, что никакие сообщения не соответствуют моим двум попыткам фильтрации (ATTEMPT1 и ATTEMPT2 ниже).
Чего мне не хватает: /
Исходное сообщение syslog, как показано на сервере syslog-ng:
Mar 9 13:44:06 G22271716533470 log_standard -: STANDARD [detection id=TEST action=TEST reason=TEST, msg=TEST]
фрагмент От syslog-ng.conf ниже:
# Message X forward
#
destination custom{ udp('10.1.1.12' port(514)); };
#filter ATTEMPT1
filter sysforward { host("G22271716533470") };
log {
destination(custom);
};
#filter ATTEMPT2
filter sysforward { not match("regex" value("G22271716533470")); }
log {
destination(custom);
};