ケース1:
次のsyslog受信メッセージの場合、
<14>Mar 22 11:12:06 RT_FLOW: RT_FLOW_SESSION_CREATE: session created 1.2.3.4/62963->23.58.169.35/443 0x0 junos-https 6.7.8.9/32359->23.58.169.35/443 0x0 source rule 1 N/A N/A 6 1 Trust Untrust 60471 N/A(N/A) ge-0/0/1.0 UNKNOWN UNKNOWN UNKNOWN
syslog-ng正常に追加されましたCPU名タイムスタンプ(Mar 22 11:12:06)とメッセージタイプ()のRT_FLOW間
ケース2:
しかし、、次の syslog 受信メッセージの場合、
<14> Mar 22 11:04:17 206.133.74.126 03362 auth: User 'sup_ogr' logged in from 206.133.74.127 to SSH session
具体的には、タイムスタンプ(Mar 22 11:04:17)とメッセージタイプ(auth)の間にすでにIPアドレスがあります。
syslog-ngはいできない...を加えたCPU名タイムスタンプとメッセージタイプの間
使用される構成は次のとおりです。use_dns (yes);&keep_hostname (yes);
2番目のケースでは、syslogメッセージに次のものと一致するIPがありますか?RFC 5424基準?
それでは、タイムスタンプとメッセージタイプの間にホスト名を設定するにはどのような設定が必要ですか?
ベストアンサー1
私はsyslog-ngについてはよくわかりませんが、rsyslogと同様に、従来のsyslogメッセージを解析するために経験的な方法を使用すると仮定します(他の経験的な方法があるようです)。
表示されるメッセージは奇妙な形式であることに注意してください。 RFC3164は、Web上で一般的に見られるものを説明します。ここで、2番目の形式はそこで説明されているものとは異なります。可能であれば、最善の解決策は、送信者がフォーマットを変更して仕様をさらに遵守することです。