Назад | Перейти на главную страницу

Конфигурация RSYSLOG v3 vs v5 для фильтрации по базе свойств

Я пытаюсь настроить фильтрацию базы свойств для журнала audispd, это то, что у меня сейчас

Я настроил это на моих SLES11 и RHEL5:

#cat /etc/rsyslog.d/audispd.conf

:msg, contains, "audispd:"    ~

# Send a copy to remote log
auth,user,authpriv.=info        @10.10.10.23.com:514
&      ~

Приведенная выше конфигурация отлично работает для v5, но не работает для v3. Я искал, я не могу найти ничего, что могло бы вызвать проблему, так как та же конфигурация не будет работать с RHEL5

РЕДАКТИРОВАТЬ: 23/12/2015

какой-то журнал отладки из моего rsyslog версии 3,

9962.270590000:imuxsock.c: --------imuxsock calling select, active file descriptors (max 12): 12
9962.270777000:main queue:Reg/w0: main queue: entering rate limiter
9962.270788000:main queue:Reg/w0: main queue: entry deleted, state 0, size now 0 entries
9962.270805000:main queue:Reg/w0: Called action, logging to builtin-file
9962.270828000:main queue:Reg/w0:  (/var/log/messages)
9962.270924000:main queue:Reg/w0: main queue: entering rate limiter
9962.270933000:main queue:Reg/w0: main queue:Reg/w0: worker IDLE, waiting for work.
9962.274862000:imuxsock.c: Message from UNIX socket: #12
9962.274876000:imuxsock.c: dropped LF at very end of message (DropTrailingLF is set)
9962.274891000:imuxsock.c: logmsg: flags 4, from 'hostname', msg Dec 23 11:06:02 audispd: node=hostname type=USER_END msg=audit(1450839962.265:1731474): user pid=9687 uid=0 auid=0 msg='PAM: session close acct="root" : exe="/usr/sbin/crond" (hostname=?, addr=?, terminal=cron res=success)'
9962.274897000:imuxsock.c: Message has legacy syslog format.
9962.274906000:imuxsock.c: main queue: entry added, size now 1 entries
9962.274913000:imuxsock.c: wtpAdviseMaxWorkers signals busy
9962.274920000:imuxsock.c: main queue: EnqueueMsg advised worker start

Я даже это тестировал:

if $programname == "audispd" then /var/log/audispd.log

тоже не работает

Спасибо