Аналогично моему предыдущему вопросу о patterndb syslog-ng шаблоны для соответствия пустому описанию, Теперь я пытаюсь сопоставить сообщения "--MARK--". Сообщения выглядят так:
-- MARK --
Их $ {PROGRAM}, по-видимому, имеет значение null / blank. В настоящее время у меня есть следующий XML-код для моего набора правил, который не соответствует сообщениям:
<ruleset name='my-null' id='my-null'>
<pattern></pattern>
<rules>
<rule class='system' id='null_dashed_mark' provider='me'>
<description></description>
<patterns>
<pattern>-- MARK --</pattern>
</patterns>
<values>
</values>
<examples>
<example>
<test_message program="">-- MARK --</test_message>
<test_values>
</test_values>
</example>
</examples>
</rule>
</rules>
</ruleset>
Я также пробовал различные комбинации символов новой строки и пробелов между <pattern> и </pattern>, но безрезультатно.
Итак, как я могу создать свою спецификацию набора правил, чтобы сопоставить / перехватить эти сообщения "MARK"?
опустить <pattern> элемент набора правил, то syslog-ng должен соответствовать правилам этого набора правил для сообщений без поля PROGRAM.
С Уважением,
Роберт