Sélection d'un message syslog-ng

Je veux enregistrer l'adresse IP d'origine de


        sshd

Enregistrement d'un journal à la base de données mysql De l'Intérieur


        syslog-ng

. Actuellement, j'ai un filtre spécifique qui correspond à la substitution de l'entrée de journal souhaitée.

Je peux enregistrer l'entrée du journal complètement dans la base de données, cependant


        $MSG

Une partie d'entrée de journal système contient beaucoup de données inutiles que je n'ai pas besoin. Existe-t-il un moyen de "écraser" les champs du journal du système d'enregistrement pour enregistrer simplement l'adresse IP dans la base de données?

Ceci est ma configuration:

filter f_sshd

{

      # (log entry) Sep  5 14:59:20 myhost4 sshd Starting session: shell on pts/0 for rbackup from 10.120.192.25 port 36894 id 0

      match("Starting session:" value ("MESSAGE") );

};





destination d_sshd

{

      sql( type(mysql)

      username("xxxxx")

      password("xxxxxxx")

      database("syslog")

      host("localhost")

      table("ssh")

      columns("host", "facility", "priority", "level", "pid", "tag", "timestamp", "program", "msg")

      values("$HOST", "$FACILITY", "$PRIORITY", "$LEVEL", "$PID", "$TAG","$YEAR-$MONTH-$DAY $HOUR:$MIN:$SEC","$PROGRAM", "$MSG")

      indexes("timestamp", "host", "program", "pid", "message"));

};



log

{

      # s_stunnel is defined in syslog-ng/conf.d/stunnel.conf

      source(s_stunnel);

      filter(f_sshd);

      destination(d_sshd);

};
2021-03-13 ajouter un commentaire
Partager ceci

Aucun résultat connexe trouvé

    Invité:

    Catherine

    Confirmation de:

    Vous pouvez créer un analyseur en utilisant
    https://github.com/balabit/syslog-ng-patterndb
    Pour extraire les pièces de message.

    Créer un fichier. XML Déterminer votre analyseur (

    
          /etc/syslog-ng/template_sshd.xml

    ):

    <patterndb pub_date="2010-10-17" version="4">
    
<ruleset id="123456678" name="ssh">
    
<pattern>ssh</pattern>
    
<rules>
    
<rule class="system" id="182437592347598" provider="me">
    
<patterns>
    
<pattern>Starting session: shell on @ESTRING:SSH_TERMINAL: @for @ESTRING:SSH_USERNAME: @from @ESTRING:SSH_CLIENT_ADDRESS: @port @NUMBER:SSH_PORT_NUMBER:@ id @NUMBER:SSH_ID@</pattern>
    
</patterns>
    
<examples>
    
<example>
    
<test_message program="ssh">Starting session: shell on pts/0 for rbackup from 10.120.192.25 port 36894 id 0</test_message>
    
<test_values>
    
<test_value name="SSH_TERMINAL">pts/0</test_value>
    
<test_value name="SSH_USERNAME">sampleuser</test_value>
    
<test_value name="SSH_CLIENT_ADDRESS">192.168.10.12</test_value>
    
<test_value name="SSH_PORT_NUMBER">42156</test_value>
    
<test_value name="SSH_ID">1</test_value>
    
</test_values>
    
</example>
    
</examples>
    
</rule>
    
</rules>
    
</ruleset>
    
</patterndb>

    Puis dans la tienne

    
          syslog-ng.conf

    :

    Déterminez l'analyseur:

    parser sshd_pattern { db_parser(file("/etc/syslog-ng/template_sshd.xml")); };

    Appelez l'analyseur dans sa directive sur le magazine:

    log
    
{
    
      # s_stunnel is defined in syslog-ng/conf.d/stunnel.conf
    
      source(s_stunnel);
    
      parser(sshd_pattern);  <---- call parser
    
      filter(f_sshd);
    
      destination(d_sshd);
    
};

    Utiliser une variable

    
          SSH_CLIENT_ADDRESS

    De l'analyseur à votre destination:

    destination d_sshd
    
{
    
    file("/var/log/sshd.log"
    
    template("${SSH_USERNAME}; ${SSH_CLIENT_ADDRESS}; ${HOST}; ${FACILITY}; ${PRIORITY}; ${LEVEL}; ${PID}; ${TAG}; ${YEAR}-${MONTH}-${DAY} ${HOUR}:${MIN}:${SEC}; ${PROGRAM}; \n")
    
    template_escape(no)
    
  );
    
};

    Exécution du test modulaire:

    pdbtool match -P "ssh" -M "Starting session: shell on pts/0 for rbackup from 10.120.192.25 port 36894 id 0" -p template_sshd.xml -c -D -v

    Doit revenir:

    SSH_TERMINAL=pts/0
    
SSH_USERNAME=rbackup
    
SSH_CLIENT_ADDRESS=10.120.192.25
    
SSH_PORT_NUMBER=36894
    
SSH_ID=0

    Adapté par ce lien:
    https://gist.github.com/linickx/8002981
    Modifiez votre commentaire ci-dessous:

    Idéalement la clé SSH_TERMINAL Il pourrait tout avaler d'un espace après une session: à partir d'une parole nue

    Modèle de changement B. XML de la manière suivante:

    <pattern>Starting session: @ESTRING:SSH_TERMINAL:from @@ESTRING:SSH_CLIENT_ADDRESS: @port @NUMBER:SSH_PORT_NUMBER:@ id @NUMBER:SSH_ID@</pattern>

    Quel retour:

    # pdbtool match -P "ssh" -M "Starting session: shell on pts/0 for rbackup from 10.120.192.25 port 36894 id 0" -p template_sshd.xml -c -D -v
    

    
SSH_TERMINAL=shell on pts/0 for rbackup  <-- you got all between "session:" to "from"
    
SSH_CLIENT_ADDRESS=10.120.192.25
    
SSH_PORT_NUMBER=36894
    
SSH_ID=0

    Informations supplémentaires sur les modèles d'analyse:
    https://www.syslog-ng.com/tech ... de/72
    2021-03-13 0 0
    Partager ceci
    Pourquoi est-ce complexe? 0 réponses ont été bouchées

    Pour répondre aux questions, connectez-vous ou registre

    Copyright © 2023, All Rights Reserved