Я перемещаю поле Solaris из syslogd в syslog-ng, потому что версия syslogd для Solaris стирает исходное имя хоста в журналах. Я просматриваю документацию syslogng.conf, но не уверен, что понимаю ее полностью. У нас есть относительно простой syslog.conf, я надеялся, что эксперт по syslog-ng может сказать мне, как «преобразовать» его в работоспособный syslogng.conf?
#ident "@(#)syslog.conf 1.5 98/12/14 SMI" /* SunOS 5.0 */
#
# Copyright (c) 1991-1998 by Sun Microsystems, Inc.
# All rights reserved.
#
# syslog configuration file.
#
# This file is processed by m4 so be careful to quote (`') names
# that match m4 reserved words. Also, within ifdef's, arguments
# containing commas must be quoted.
#
*.err;kern.notice;auth.notice /dev/sysmsg
*.err;kern.debug;daemon.notice;mail.crit /var/adm/messages
#*.alert;kern.err;daemon.err operator
#*.alert root
*.emerg *
local7.debug /var/log/ncolog
audit.debug /var/log/ncolog
local7.debug @nimitz
audit.debug @nimitz
# if a non-loghost machine chooses to have authentication messages
# sent to the loghost machine, un-comment out the following line:
#auth.notice ifdef(`LOGHOST', /var/log/authlog, @loghost)
mail.debug ifdef(`LOGHOST', /var/log/syslog, @loghost)
#
# non-loghost machines will use the following lines to cause "user"
# log messages to be logged locally.
#
ifdef(`LOGHOST', ,
user.err /dev/sysmsg
user.err /var/adm/messages
#user.alert `root, operator'
user.emerg *
)
syslog-ng очень прост (но намного многословнее), если вы понимаете структуру его файла конфигурации. В такой простой установке, как ваша, все, что вам нужно знать, это то, что вам нужно настроить источники, фильтры и места назначения. Я не уверен, какую версию syslog-ng вы используете, но вот версия для 3.0.x (которая будет работать и для более поздних версий):
@version 3.0
# syslog source
source s_sys { sun-streams ("/dev/log" door("/var/run/syslog_door")); };
# use this instead if you receive logs from network:
# source s_sys { udp ();
# sun-streams ("/dev/log" door("/var/run/syslog_door")); };
# destinations
destination d_sysmsg { file ("/dev/sysmsg"); };
destination d_messages { file ("/var/adm/messages"); };
destination d_ncolog { file ("/var/log/ncolog"); };
destination d_nimitz { udp ("nimitz"); };
destination d_auth { file ("/var/log/authlog"); };
destination d_syslog { file ("/var/log/syslog"); };
destination d_users { usertty ("*"); };
# filters
filter f_emerg { priority (emerg); };
filter f_sysmsg { priority (err..emerg) or
(facility (kern) or facility (auth)) and priority (notice..emerg); };
filter f_messages { priority (err..emerg) or
facility (kern) or
facility (daemon) and priority (notice..emerg) or
facility (mail) and priority (crit..emerg); };
filter f_local7 { facility (local7); };
filter f_audit { facility (13); };
filter f_mail { facility (mail); };
# log paths
log { source (s_sys); filter (f_emerg); destination (d_users); };
log { source (s_sys); filter (f_sysmsg); destination (d_sysmsg); };
log { source (s_sys); filter (f_messages); destination (d_messages); };
log { source (s_sys); filter (f_local7); destination (d_ncolog); destination (d_nimitz); };
log { source (s_sys); filter (f_audit); destination (d_ncolog); destination (d_nimitz); };
log { source (s_sys); filter (f_mail); destination (d_syslog); };
Думаю, я рассмотрел все, кроме частей "ifdef". Если ваш хост не ведет журналы локально, то есть это не LOGHOST, вам необходимо добавить другое место назначения
destination d_loghost { udp ("loghost"); };
и измените путь журнала для почты на
log { source (s_sys); filter (f_mail); destination (d_loghost); };