Am 05.07.2020 um 22:01 schrieb Carsten Weber: Hallo Carsten
> scheint ein gut abgehangenes Problem zu sein - z. B. findet man > https://bugs.launchpad.net/ubuntu/+source/rsyslog/+bug/479592 > wo beschrieben wird, dass der Kernel-Timestamp zur Nachricht zählt (da > er nach dem ":" kommt), und man den KeepKernelTimeStamp off wegmachen > kann. Und dann kann es noch sein, dass das Leerzeichen am Anfang stört. > > > Entweder machst du den Timestamp weg und nimmst ggf. das Leerzeichen in > deine Regeln auf, oder du nimmst regexp statt startswith > (https://www.rsyslog.com/doc/v8-stable/configuration/filters.html?highlight=regex) > und formulierst die regulären Ausdrücke so, dass Timestamp und > Leerzeichen egal sind - langfristig vermutlich der stabilere Weg, > kostet mehr CPU (sollte aber m. E. kaum relevant sein bei den zuhause > typischerweise anfallenden Log-Mengen). Ich habe eine neue Syntax gefunden und die funktioniert: if ( $msg contains 'IPv' and $msg contains 'IN=' and $msg contains 'OUT=' ) then { /var/log/firewall.log stop } Grüße Luca Bertoncello ([email protected])
