Hello, Thank you for your help. It's exactly the way i have to follow
Regards -----Message d'origine----- De : rsyslog <[email protected]> De la part de Mariusz Kruk via rsyslog Envoyé : mercredi 9 février 2022 13:31 À : [email protected] Cc : Mariusz Kruk <[email protected]> Objet : Re: [rsyslog] question of template Firstly, call it paranoia but I would _not_ rely on the hostname reported by the source. The only reliable metadata you have about the source is its IP address. BTW, why are you sending to different ports? And if I understand correctly, you want to be able to map source hostnames to a class of devices so that, for example whatever1 is a router and is logged under /var/log/routers/whatever1.log whatever2 is a switch and goes to /var/log/switches/whatever2.log and so on. Right? Define a lookup, create an additional variable from that lookup and use it in your template. For example lookup_table(name="host-class" file="host-class.json" reloadonHUP="on") template(name="destpath" type="string" string="/var/log/%.class%/%HOSTNAME%.log") set $.class=lookup("host-class",$hostname); action(type="omfile" dynafile="destpath") And in the host-class.json you do something like: { "version" : 1, "nomatch" : "false", "type" : "string", "table" : [ {"index":"whatever1","value":"router"}, {"index":"whatever2","value":"switch"} ]} Lookups are a very powerful feature. On 09.02.2022 12:56, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote: > Hello, > > As i have solved my problem with writing rules, i have another > question, more focused on writing I have several technos > (firewall,switch, routers....) and each device has is own ip,hostname, a > destination port (10510,10515,10516 etc....) As we connect to the rsyslog > through a F5 VIP, how can i adapt the template in order to classifier things. > Actually, i have this > template(name="TmplAuthpriv" type="string" > > string="/var/log/remote/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log" > ) > If i let this, the hostname is the IP of the VIP but how can i > classify by techno and by port It should give something like this > (example) /var/log/remote/10521/ip(or hostname)/*.log > > Best regards > > Samuel Desseaux > Direction des Systèmes d'Information / Domaine Ingénierie / > Architecture et Expertise Outillage Architecte ELK > > 95, rue de Maubeuge > 75009 Paris - France > Tel : 07 49 95 94 14 > [email protected]<mailto:[email protected] > > > www.grdf.fr<http://www.grdf.fr/> > > > « Ce message est confidentiel et destiné à l'usage du (des) seul(s) > destinataire(s) concerné(s). Il peut également contenir des informations à > usage restreint, soumises à droits d'auteur ou à d'autres dispositions > légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir > nous en informer par retour et de l'effacer de votre système. La copie du > message et la communication de son contenu à quelque personne que ce soit > sont interdites. La transmission erronée de ce message n'entraîne ni la > renonciation ni la levée de la confidentialité et du secret professionnel. > > Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de > contrôles visant à garantir le respect des directives internes, > protéger les intérêts de l'entreprise et éliminer les éventuels > logiciels dangereux. Les messages électroniques ne sont pas sécurisés > et sont susceptibles de comporter des erreurs puisqu'ils peuvent être > interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute > personne communiquant avec notre entreprise par message électronique > accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent > être vérifiées et sont disponibles sur demande » > > _______________________________________________ > rsyslog mailing list > https://lists.adiscon.net/mailman/listinfo/rsyslog > http://www.rsyslog.com/professional-services/ > What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE > WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites > beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT. _______________________________________________ rsyslog mailing list https://lists.adiscon.net/mailman/listinfo/rsyslog http://www.rsyslog.com/professional-services/ What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT. « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel. Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande » _______________________________________________ rsyslog mailing list https://lists.adiscon.net/mailman/listinfo/rsyslog http://www.rsyslog.com/professional-services/ What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
