我们有一个旧设备将严重性为 <132> 的系统日志发送到其管理服务器。
为了捕获上述事件,之前的团队创建了一个 tcpdump 脚本并通过 crontab 运行它来捕获事件。
我试图弄清楚如何通过系统日志将这些事件写入不同的文件。
syslog 配置当前是默认配置,我启用了 UDP 捕获模块,但我无法让它写入不同的文件。
*.* /var/log/syslog_capture_all
:msg, contains, "[ApplianceModel]" /var/tmp/events_syslog
第一个文件现在包含来自系统的所有日志,第二个文件仍然是 emtpy。
apliance发送的日志如下,在tcpdump保存的文件中可以看到:
<132>[ApplianceModel] [Parameter=Parameter value] ......
我只想将“<132>[ApplianceModel] [Parameter=Parameter value] ......”保存到 /var/tmp/events_syslog 文件并摆脱那个 tcpdump