On Monday 05 April 2004 16:54, Matthias Keller wrote:
Hallo!
Nachdem mich die blöden Firewall logs stetig genervt haben in messages und warn (obwohl ich via kern.* oder sowas im syslog diese auch ncoh in ein separates file geschrieben habe) bin ich nun auf syslog-ng umgestiegen. (suse 9.0 pro) Funktioniert für die Firewall auch super und jetzt versuche ich dies auch auf andere Programme auszudehnen.... [...] Lange Rede kurze Konfig, habe also /etc/syslog-ng/syslog-ng.conf.in modifiziert und folgende Zeilen produziert:
filter f_dhcpd { match("dhcpd"); }; destination dhcpd { file("/var/log/dhcpd.log"); }; log { source(src); filter(f_dhcpd); destination(dhcpd); };
Möchte das natürlich später noch etwas verfeinern aber meiner Meinung nach müsste das ja ALLE syslogs schnappen die ein dhcpd enthalten und die in /var/log/dhcpd.log stopfen. Dieses file bleibt
Ja
jedoch völlig LEER und der dhcpd schreibt weiterhin fleissig in localmessages & messages ..... Syslog-ng grundsätzlich läuft ja - die susefw-rules funktionieren sauber... Ausserdem habe ich diese angegebenen regeln ziemlich zuobers reingepastet dass sie auf jeden fall immer vor allem anderen ausgeführt werden sollten............ weiss jemand rat warum sie das nicht tun? umgeht der dhcpd irgendwie den syslog oder so?
Hi, ich habs hier gerade ausprobier: Mein dhcp ist der von vmware; aber auch dieser schreibt syslog messages. Deine Filter habe ich genau so bei mir in die konfig eingetragen, einen "/etc/init.d/syslog reload" abgesetzt und schon war ein File "/var/log/dhcpd.log" da. vmware gestartet, die VM gebootet und sofort beim dhcp-request standen die Einträge im dhcpd.log. Fazit: Funktioniert genau so, wie Du gesagt hast. Hast Du evtl. den reload des syslog-ng vergessen? Er liest die Filter nämlich nicht dynamisch ein. Andreas PS: Damit die dhcp-Messages nicht in /var/log/messages erscheinen, müsste man den Filter noch ändern, das dhcp-Meldungen dort nicht matchen. Aber das weisst Du sicher., oder? PPS: Oder gibt es eine Möglichkeit, dem syslog-Filtering zu sagen: Höre beim Matchen des Kriteriums mit weiteren Prüfungen auf, so das die anderen Filter nicht mehr geprüft werden?