https://www.opennet.me/openforum/vsluhforumID1/94119.html Добрый день.<br><br>Есть сеть. В ней есть несколько почтовых серверов и сотни свичей и роутеров.<br>Когда логи прилетают от серверов хочу раскидывать по каталогам с доменным именем сервера.<br>Когда логи прилетают от свичей,хочу чтобы в качтсве имени каталога был ip свича.<br><br>##############################################<br>/etc/syslog-ng/syslog-ng.conf<br><br>options { <br> ...<br> long_hostnames(off);<br>use_fqdn(yes);<br>use_dns(yes);<br>};<br><br>...<br><br>destination mail_log{ file("/var/log/servers/$FULLHOST/$DAY-$MONTH-$YEAR.log" create_dirs(yes) owner("log") group("log") dir_owner("log") perm(0640) dir_perm(0750) dir_group("log") ); };<br><br>destination device_log{ file("/var/log/devices/$HOST/$DAY-$MONTH-$YEAR.log" create_dirs(yes) owner("log") group("log") dir_owner("log") perm(0640) dir_perm(0750) dir_group("log") ); };<br><br><br>filter mail { program ("mail&#124;pop&#124;imap&#124;exim&#124;smtp&#124;dovecot") or facility(mail) and not program ("last&#124;syslog&#124;^$&#124;^[0-9]+$"); };<br><br>filter device { host ("par https://www.opennet.me/openforum/vsluhforumID1/94119.html#1 Thu, 06 Dec 2012 11:15:49 GMT Нашел ответ. Подсказали на LOR.<br>Переменная [b]$SOURCEIP[/b] содержит ip последнего хоста от которого пришло собщение. В данном случае оборудование шлет сообщения напрямую на сервер логов,так что в $SOURCEIP содержиться ip ,который мне нужен.<br><br>Список переменных syslog-ng<br>http://www.balabit.com/sites/default/files/documents/syslog-ng-ose-v3.1-guide-admin-en.html/syslog-ng-parameter-index.html?q=dl/html/syslog-ng-ose-v3.1-guide-admin-en.html/syslog-ng-parameter-index.html<br>