J'essaie de filtrer certaines sshd
les journaux comme ceux-ci dans un fichier séparé :
sshd[14913]: Did not receive identification string from 10.16.0.2
J'ai essayé ce qui suit, et ça a marché :
if $programname == 'sshd' and
$syslogfacility-text == 'security' and
$syslogseverity == '6' then -/var/log/sshinfo.log
& stop
Mais cela correspond également à la connexion et à la déconnexion de l'utilisateur. a correspondance des messages filtre :
if $programname == 'sshd' and
$msg startswith 'Did not' and # <---
$syslogseverity == '6' then -/var/log/sshinfo.log
& stop
Ça ne marche pas ! (bien que contains
travaux)
Est startswith
brisé, ou cet usage est-il incorrect ?
Version :
# rsyslogd -v
rsyslogd 7.4.4, compiled with:
FEATURE_REGEXP: Yes
FEATURE_LARGEFILE: No
GSSAPI Kerberos 5 support: Yes
FEATURE_DEBUG (debug build, slow code): No
32bit Atomic operations supported: Yes
64bit Atomic operations supported: Yes
Runtime Instrumentation (slow code): No
uuid support: Yes