[Mit Umweg gelöst] rsyslogd Nachrichten unterdrücken.

[pferdefreund]

Hallo zusammen,
ich verwende hier auf der Arbeit cntlm als Proxy in einem Windows-Netzwerk. Funktioniert auch wunderbar. Allerdings schreibt der mir
das Syslog mit den besuchten URLs voll.
Beispiel:
2015-09-21T09:28:17.223377+02:00 kschadebian cntlm[25801]: 127.0.0.1 GET http://de.varadero.at/Themes/default/im ... w_none.png
Diese Einträge möchte ich gerne unterdrücken. Ich habe schon diverse Versuche mit der /etc/rsyslog.conf gemacht, aber es einfach nicht
hinbekommen. Auch die Beispiele aus der Dokumentation haben bei mir nicht funktioniert.
Ich hatte das mit if $msg contains 'cntlm' then /dev/null probiert
auch das mit :$msg, contains "cntlm" ~ hat nicht funktioniert. Es kamen keine Fehlermeldungen - auch nicht im Syslog aber
die Meldungen kamen immer noch. Hat eventuell jemand ein Beispiel für sowas, wenn nicht, muss ich halt noch weiter suchen und probieren.
Übrigens - mein System ist noch Wheezy und rsyslogd ist Version 5.8.11.

[rendegast]

/etc/rsyslog.conf wieder in den ursprünglichen Zustand setzen.
/etc/rsyslog.conf.d/10_cntlm-spam.conf:
EDIT /etc/rsyslog.d/10_cntlm-spam.conf:

Code: Alles auswählen

:programname,isequal,"cntlm"	 stop

$msg ist der Teil "127........",
genauer " 127........".

[pferdefreund]

Hallo,
habe folgendes eingetragen rsyslog und auch cntlm neu gestartet
:programname,isequal,"cntlm" stop
Ergebnis ist, dass die Logeinträge leider weiterhin geschrieben werden. Werde halt noch mal weitersuchen und wenn alles nix hilft,
werde ich in meinem Logsicherungsjob nen Filter einbauen (hab ich eh schon sowas in Opencobol) , um die da beim Fortschreiben
des gesamtlogs in einen anderen Bereich zu entsorgen.

[rendegast]

habe folgendes eingetragen

Bitte genau wo.

Resp. posten
/etc/rsyslog.conf
/etc/rsyslog.d/*.conf


Alternativ

Code: Alles auswählen

:programname,regex,"^cntlm"   stop

--------------------------------------------------------
Vergleich der default-Datei

Code: Alles auswählen

$ md5sum */etc/rsyslog.conf
169baf73fd49d20d142d088e663a9a63  rsyslog_5.8.11-3+deb7u2_amd64/etc/rsyslog.conf
169baf73fd49d20d142d088e663a9a63  rsyslog_7.6.3-2~bpo70+1_amd64/etc/rsyslog.conf
169baf73fd49d20d142d088e663a9a63  rsyslog_8.4.2-1+deb8u1_amd64/etc/rsyslog.conf

also wheezy, wheezy-backports, jessie identisch.

[pferdefreund]

Werde das morgen machen. Bin jetzt zu Hause und muß mich erst mal um Kind Frau und Kater kümmern. Insbesondere der Kater will jetzt erst mal
http://www.irishpubradio.com hören - ist ein Musikliebhaber.

[pferdefreund]

Hier mal die 2 Dateien
/etc/rsyslog.conf

Code: Alles auswählen

#  /etc/rsyslog.conf	Configuration file for rsyslog.
#
#			For more information see
#			/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html


#################
#### MODULES ####
#################

$ModLoad imuxsock # provides support for local system logging
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
$ModLoad immark  # provides --MARK-- message capability

# provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514

# provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
# $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

#
# Set the default permissions for all log files.
#
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf


###############
#### RULES ####
###############

#
# First some standard log files.  Log by facility.
#
auth,authpriv.*			/var/log/auth.log
*.*;auth,authpriv.none		-/var/log/syslog
#cron.*				/var/log/cron.log
daemon.*			-/var/log/daemon.log
kern.*				-/var/log/kern.log
lpr.*				-/var/log/lpr.log
mail.*				-/var/log/mail.log
user.*				-/var/log/user.log

#
# Logging for the mail system.  Split it up so that
# it is easy to write scripts to parse these files.
#
mail.info			-/var/log/mail.info
mail.warn			-/var/log/mail.warn
mail.err			/var/log/mail.err

#
# Logging for INN news system.
#
news.crit			/var/log/news/news.crit
news.err			/var/log/news/news.err
news.notice			-/var/log/news/news.notice

#
# Some "catch-all" log files.
#
*.=debug;\
	auth,authpriv.none;\
	news.none;mail.none	-/var/log/debug
*.=info;*.=notice;*.=warn;\
	auth,authpriv.none;\
	cron,daemon.none;\
	mail,news.none		-/var/log/messages

#
# Emergencies are sent to everybody logged in.
#
*.emerg				*

#
# I like to have messages displayed on the console, but only on a virtual
# console I usually leave idle.
#
#daemon,mail.*;\
#	news.=crit;news.=err;news.=notice;\
#	*.=debug;*.=info;\
#	*.=notice;*.=warn	/dev/tty8

# The named pipe /dev/xconsole is for the `xconsole' utility.  To use it,
# you must invoke `xconsole' with the `-file' option:
# 
#    $ xconsole -file /dev/xconsole [...]
#
# NOTE: adjust the list below, or you'll go crazy if you have a reasonably
#      busy site..
#
daemon.*;mail.*;\
	news.err;\
	*.=debug;*.=info;\
	*.=notice;*.=warn	|/dev/xconsole

und /etc/rsyslog.d/10_cntlm-suppress.conf

Code: Alles auswählen

:programname,isequal,"cntlm"    stop

Habe es mal vorläufig in meinem Log-Reorg-Programm eingebaut und überlese da die Datensätze. Ich habe immer die Logdateien
der letzten 3 Tage in einer und alles was älter ist, wird auf eine externe Sicherungsplatte geschrieben. Dabei war es mit OpenCobol ein
leichtes, diese Meldungen zu filtern und ins Nirvana zu senden - aber mit rsyslogd sollte es ja auch irgendwie gehen.

[pferdefreund]

Meine Cobol-Lösung tut was sie soll. Ich betrachte das jetzt erst mal als gelöst.