Logserver & syslog-ng

piccard · Beitrag von **piccard** » 16.01.2008 17:13:50

Hallo,
habe einen zentralen Logserver mit syslog-ng und stunnel aufgesetzt, der auch ganz gut mit den Standarddateien (daemon, cron, debug, syslog, etc) funktioniert. Probleme tauchen aber auf, wenn ich Logdateien von anderen Anwendungen, wie Apache oder Samba, auf den Server loggen will. Zwar funktioniert das auch, indem ich das ganz mit tail an logger weiterleite:

Code: Alles auswählen

tail -f /var/log/apache2/error.log | logger -p daemon.err

.
Das Problem liegt aber im Filter des syslog-ng auf dem Server, da ich jetzt nicht mehr das Programm identifizieren kann, von dem der Logeintrag kommt. Ein Filter der mir erstmal alles vom Remote-Host mitschneidet

Code: Alles auswählen

filter f_apache2 {host(cronos);};

zeigt mir folgendes:

Code: Alles auswählen

...
[2008/01/16 17:05:58] [cronos ] daemon.err logger logger: [Wed Jan 16 17:05:58 2008] [error] [client 192.168.1.100] File does not exist: /var/www/aps

Wie man sieht erhalte ich die facility und die priority, aber als Programm wird natürlich logger angegeben. Ich kann also nicht einen Filter mittels program aufbauen.
Habt ihr eine Idee wie ich einen Filter aufbaue, der mir trotzdem die Apache- oder Sambalogs extrahieren kann??? Falls ja, kann ich eigentlich auch mittels tail Binär-logs wie wtmp auf dieselbe Art und Weise übertragen?

Dank i.v.

cosmac · Beitrag von **cosmac** » 16.01.2008 17:59:46

hi,

hast du schon mal die Option -t probiert?

Code: Alles auswählen

tail -f /var/log/apache2/error.log | logger -t apache -p daemon.err

piccard · Beitrag von **piccard** » 16.01.2008 18:59:40

das wars. danke sehr