Вот система:
8 февраля 09:29:53 sles1 sshd [17529]: принято keyboard-interactive / pam для root из 10.30.34.64 порта 4855 ssh2
Что мне нужно:
<15> 8 февраля 09:29:53 sles1 sshd [17529]: принято keyboard-interactive / pam для root из 10.30.34.64 порта 4855 ssh2
У меня вопрос:
Как изменить syslog-ng.conf, чтобы включить этот вид ведения журнала?
Спасибо.
Похоже, ты хочешь переписать лог-файлы в определенном формате. Ссылка содержит подробную информацию о том, как сообщить syslog-ng об этом :)
Основываясь на некотором быстром чтении, я думаю, вы хотите использовать драйвер syslog (), который описан в разделе 8.1.6 Руководства администратора Syslog-ng. http://www.balabit.com/support/documentation/?product=syslog-ng
Надеюсь, это поможет, если я найду что-нибудь еще, дам вам знать.
Я думаю, что драйвер syslog () предназначен для использования с объявлением источника. так где я
source external { udp(); };
Вы можете использовать
source external { syslog(transport("udp")); };
У меня нет подходящей среды тестирования, чтобы опробовать это, но я думаю, что это то, что вы хотите сделать, если я правильно понимаю ваш вопрос.
Я вернулся и посмотрел, и оказалось, что есть макрос, который вы можете использовать в пункте назначения, под названием TAG.
например
destination d_all { file("/log/$FACILITY.log" group("users")
template_escape(no)
template("$TAG $PRIORITY $S_DATE $HOST $MSG\n")); };
Эти макросы определены на странице 218 руководства администратора.
Если у вас настроен такой пункт назначения:
destination syslog-consumer { unix-stream("/var/run/syslog-output"); };
сообщения системного журнала, направляемые в syslog-consumer отправляйтесь в этот сокет в нужном вам формате.
Вам просто нужно настроить что-то для прослушивания этого сокета и записи в файл.