Skicka loggmeddelanden till olika filer beroende på innehåll

Konfiguration av nätverk, hur man använder Ubuntu som server, och håller sin dator säker
Emil.s
Inlägg: 6633
Blev medlem: 12 dec 2006, 23:20
OS: Ubuntu
Ort: /Dalarna/Hedemora/
Kontakt:

Skicka loggmeddelanden till olika filer beroende på innehåll

Inlägg av Emil.s »

Tjenare!

Sitter och försöker dela upp loggarna på min server så det blir lite mer lättöverskådligt.
Har läst och läst oändligt många guider, och flera "copy-paste" varianter, men jag får ändå inte till det...
Här är väl ett exempel:
http://blog.shadypixel.com/log-iptables ... h-rsyslog/

Det första, och mest grundläggande är att min /var/log/syslog blir överfylld av meddelanden från dhcp-klienten. Typ så här:

Kod: Markera allt

Feb 17 02:21:09 localhost dnsmasq[2200]: using nameserver 193.11.113.3#53
Feb 17 02:21:09 localhost dnsmasq[2200]: using nameserver 193.11.113.12#53
Feb 17 02:23:33 localhost dhclient: DHCPREQUEST of 193.11.133.35 on br-net to 193.11.133.1 port 67
Feb 17 02:23:33 localhost dhclient: DHCPACK of 193.11.133.35 from 193.11.133.1
Feb 17 02:23:33 localhost dhclient: bound to 193.11.133.35 -- renewal in 435 seconds.
Feb 17 02:23:44 localhost dnsmasq[2200]: reading /etc/resolv.conf
Feb 17 02:23:44 localhost dnsmasq[2200]: using nameserver 193.11.113.3#53
Feb 17 02:23:44 localhost dnsmasq[2200]: using nameserver 193.11.113.12#53
Feb 17 02:25:29 localhost dhclient: DHCPREQUEST of 193.11.133.35 on br-net to 193.11.133.1 port 67
Feb 17 02:25:29 localhost dhclient: DHCPACK of 193.11.133.35 from 193.11.133.1
Feb 17 02:25:29 localhost dhclient: bound to 193.11.133.35 -- renewal in 414 seconds.
Feb 17 02:25:50 localhost dnsmasq[2200]: reading /etc/resolv.conf
Feb 17 02:25:50 localhost dnsmasq[2200]: using nameserver 193.11.113.3#53
Feb 17 02:25:50 localhost dnsmasq[2200]: using nameserver 193.11.113.12#53
Feb 17 02:30:49 localhost dhclient: DHCPREQUEST of 193.11.133.35 on br-net to 193.11.133.1 port 67
Feb 17 02:30:49 localhost dhclient: DHCPACK of 193.11.133.35 from 193.11.133.1
Feb 17 02:30:49 localhost dhclient: bound to 193.11.133.35 -- renewal in 345 seconds.
Feb 17 02:31:36 localhost dnsmasq[2200]: reading /etc/resolv.conf
Feb 17 02:31:36 localhost dnsmasq[2200]: using nameserver 193.11.113.3#53
Feb 17 02:31:36 localhost dnsmasq[2200]: using nameserver 193.11.113.12#53
Feb 17 02:32:23 localhost dhclient: DHCPREQUEST of 193.11.133.35 on br-net to 193.11.133.1 port 67
Feb 17 02:32:23 localhost dhclient: DHCPACK of 193.11.133.35 from 193.11.133.1
Feb 17 02:32:23 localhost dhclient: bound to 193.11.133.35 -- renewal in 394 seconds
Har lagt in nedanstående rader i /etc/rsyslog.d/10-emil.conf

Kod: Markera allt

:syslogfacility, regex, "dhclient*" -/var/log/network/dhcp.log
:rawmsg, regex, "dhclient*" -/var/log/network/dhcp.log
:rawmsg, contains, "DHCPREQUEST" -/var/log/network/dhcp.log
:rawmsg, contains, "DHCPREQUEST" /var/log/network/dhcp.log
:msg, contains, "iptables" /var/log/network/iptables.log
Den sista har jag bara använt för att generera loggar i snabbare takt (iptables -I INPUT -p icmp -j LOG --log-prefix " iptables ")

Som jag förstått det så bör ju "10-emil.conf" laddas först. Någon av raderna bör ju definitivt få en träff, och vid träff så ska den loggraden skickas till destinationen i slutet av raden (i det här fallet någon av filerna i /var/log/network/).

Men oavsett hur jag gör så slutar det ändå med att alla loggar hamnar i /var/log/syslog
Loggfilerna skapas dock, så jag utgår från att rsyslog läser 10-* filen vid start!?

Någon idé?
Home sweet ~/ = http://sandnabba.se

Återgå till "Nätverk, säkerhet och servrar"