iBlog . . .

Filtrando logs com o syslog-ng

O syslog-ng é um sistema de logs de extrema facilidade de configuração e possui grandes recursos. Com ele é possível montar um servidor de logs sem maiores complicações.

Para instalar basta executar: apt-get install syslog-ng (caso você possua o apt, claro ), depois de instalado já estará "escutando" o /dev/log. Para que possa também capturar logs via rede, enviados de outras máquinas, é necessário adicionar mais um source além do local. Em /etc/syslog-ng/syslog.conf adicione:

source net { unix-stream("/dev/log"); udp(ip(0.0.0.0) port(514)); };

Nesta linha estamos adicionando o source net que recebe os logs via rede.

Configurando um filtro:

filter filtro_servidor_1 {
host("192.168.1.20");
};

Note que o IP do servidor pode ser alterado para o host, basta que o adicione em /etc/hosts.

Configurando um destino:

destination destino_servidor_1 {
file("/var/logserver/maillog.log" create_dirs(yes) );
};

Temos agora os passos para capturar um log e guardá-lo em um arquivo, então vamos ao último passo:

log {
source(net);
filter(filtro_servidor_1);
destination(destino_servidor_1);
};

Estes são os passos mais importantes, configurar a origem (source), destino (destination) e o filtro (filter).

No filtro pode-se utilizar de algumas funções como:

facility() - Ex. facility(mail);

level() - Ex. level(notice);

program() - Ex. program("^postfix");

etc...

Segue um link com bons exemplos: http://linux.cudeso.be/linuxdoc/syslog-ng.php