Добрый день.

event to syslog отправляет сообщения на хост с rsyslog
rsyslog принимает ввиде:

Aug 27 16:36:08 SERVER Service_Control_Manager: 7036: Служба "Backup Exec Remote Agent for Windows Servers" перешла в состояние Остановлена.

секция для сервера настроена примерно так:

!*
+SERVER
:hostname, contains, "SERVER" -/var/log/windowshost/SERVER/sysdaemons.log
:hostname, contains, "SERVER" ~
:syslogfacility-text, contains, "Service_Control_Manager" -/var/log/windowshost/SERVER/Service_Control_Manager.log
:syslogfacility-text, contains, "Service_Control_Manager" ~
+*

так вот в /var/log/windowshost/SERVER/sysdaemons.log валятся все логи, а в /var/log/windowshost/SERVER/Service_Control_Manager.log пусто.....

пробовал разные комбинации и с регулрными выражениями.....
подскажите где ошибся? :)

• rsyslog, фильтрация сообщений,Etch, 17:39 , 27-Авг-12
  • rsyslog, фильтрация сообщений,sacift, 07:10 , 28-Авг-12
    • rsyslog, фильтрация сообщений,Etch, 10:07 , 28-Авг-12
      • rsyslog, фильтрация сообщений,sacift, 10:53 , 28-Авг-12
        • rsyslog, фильтрация сообщений,sacift, 11:05 , 28-Авг-12

Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже строку:

:hostname, contains, "SERVER" ~

> Тильда обнуляет всё что подпадает под её фильтр. Уберите или перенесите ниже
> строку:
> :hostname, contains, "SERVER" ~

все равно не пишет события, может не фильтрует по значению?
если фильтр ставлю для :msg все нормально срабатывает,
а мне нужно фильтровать именно по значениею "Service_Control_Manager", которое в msg не попадает, и явно это не TAG.
если в event to syslog ставлю TAG в строку лога добавляется SERVER:
возможно свойство не верно выбираю?

проверял ещё через конструкцию if условие then файл лога тоже самое..

Попробуйте

if $syslogtag startswith 'Service_Control_Manager:' then   /var/log/windowshost/SERVER/Service_Control_Manager.log
или
:syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log

> Попробуйте
> if $syslogtag startswith 'Service_Control_Manager:' then   /var/log/windowshost/SERVER/Service_Control_Manager.log
> или
> :syslogtag, startswith, /var/log/windowshost/SERVER/Service_Control_Manager.log

хм, заработало... а ведь пробовал что-то подобное..

спасибо

если кому интересно получилось что-то вроде этого:

!*
+SERVER1
:syslogtag, startswith, "Service_Control_Manager:" -/var/log/windowshost/SERVER1/Service_Control_Manager.log
:syslogtag, startswith, "Service_Control_Manager:" ~
:syslogtag, startswith, "GroupPolicy:" -/var/log/windowshost/SERVER1/GroupPolicy.log
:syslogtag, startswith, "GroupPolicy:" ~
:syslogtag, startswith, "Security-Auditing:" -/var/log/windowshost/SERVER1/Security-Auditing.log
:syslogtag, startswith, "Security-Auditing:" ~
:syslogtag, startswith, "User_Profiles_Service:" -/var/log/windowshost/SERVER1/User_Profiles_Service.log
:syslogtag, startswith, "User_Profiles_Service:" ~
:syslogtag, startswith, "Winlogon:" -/var/log/windowshost/SERVER1/Winlogon.log
:syslogtag, startswith, "Winlogon:" ~
:syslogtag, startswith, "Folder_Redirection:" -/var/log/windowshost/SERVER1/Folder_Redirection.log
:syslogtag, startswith, "Folder_Redirection:" ~
:syslogtag, startswith, "LsaSrv:" -/var/log/windowshost/SERVER1/LsaSrv.log
:syslogtag, startswith, "LsaSrv:" ~
:syslogtag, startswith, "Desktop_Window_Manager:" -/var/log/windowshost/SERVER1/Desktop_Window_Manager.log
:syslogtag, startswith, "Desktop_Window_Manager:" ~
:syslogtag, startswith, "FilterManager:" -/var/log/windowshost/SERVER1/FilterManager.log
:syslogtag, startswith, "FilterManager:" ~
:syslogtag, startswith, "MsiInstaller:" -/var/log/windowshost/SERVER1/MsiInstaller.log
:syslogtag, startswith, "MsiInstaller:" ~
:syslogtag, startswith, "Application_Popup:" -/var/log/windowshost/SERVER1/Application_Popup.log
:syslogtag, startswith, "Application_Popup:" ~
:hostname, contains, "SERVER1" -/var/log/windowshost/SERVER1/sysdaemons.log
:hostname, contains, "SERVER1" ~
+*

события не отфильтрованные попадают в /var/log/windowshost/SERVER1/sysdaemons.log