Mailing List Archive

question of template
Hello,

As i have solved my problem with writing rules, i have another question, more focused on writing
I have several technos (firewall,switch, routers....) and each device has is own ip,hostname, a destination port (10510,10515,10516 etc....)
As we connect to the rsyslog through a F5 VIP, how can i adapt the template in order to classifier things.
Actually, i have this
template(name="TmplAuthpriv" type="string"
string="/var/log/remote/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
)
If i let this, the hostname is the IP of the VIP but how can i classify by techno and by port
It should give something like this (example)
/var/log/remote/10521/ip(or hostname)/*.log

Best regards

Samuel Desseaux
Direction des Syst?mes d'Information / Domaine Ing?nierie / Architecture et Expertise Outillage
Architecte ELK

95, rue de Maubeuge
75009 Paris - France
Tel : 07 49 95 94 14
samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr>
www.grdf.fr<http://www.grdf.fr/>


? Ce message est confidentiel et destin? ? l'usage du (des) seul(s) destinataire(s) concern?(s). Il peut ?galement contenir des informations ? usage restreint, soumises ? droits d'auteur ou ? d'autres dispositions l?gales. Si vous l'avez re?u par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre syst?me. La copie du message et la communication de son contenu ? quelque personne que ce soit sont interdites. La transmission erron?e de ce message n'entra?ne ni la renonciation ni la lev?e de la confidentialit? et du secret professionnel.

Tous les messages envoy?s et re?us par GRDF peuvent faire l'objet de contr?les visant ? garantir le respect des directives internes, prot?ger les int?r?ts de l'entreprise et ?liminer les ?ventuels logiciels dangereux. Les messages ?lectroniques ne sont pas s?curis?s et sont susceptibles de comporter des erreurs puisqu'ils peuvent ?tre intercept?s, modifi?s, perdus, supprim?s ou contenir des virus. Toute personne communiquant avec notre entreprise par message ?lectronique accepte ces risques. Les d?l?gations de pouvoirs et d'autorit? peuvent ?tre v?rifi?es et sont disponibles sur demande ?

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: question of template [ In reply to ]
Firstly, call it paranoia but I would _not_ rely on the hostname
reported by the source. The only reliable metadata you have about the
source is its IP address.

BTW, why are you sending to different ports?

And if I understand correctly, you want to be able to map source
hostnames to a class of devices so that, for example

whatever1 is a router and is logged under /var/log/routers/whatever1.log

whatever2 is a switch and goes to /var/log/switches/whatever2.log

and so on.

Right?

Define a lookup, create an additional variable from that lookup and use
it in your template. For example

lookup_table(name="host-class" file="host-class.json" reloadonHUP="on")
template(name="destpath" type="string"
string="/var/log/%.class%/%HOSTNAME%.log")
set $.class=lookup("host-class",$hostname);
action(type="omfile" dynafile="destpath")

And in the host-class.json you do something like:

{
"version" : 1,
"nomatch" : "false",
"type" : "string",
"table" : [
{"index":"whatever1","value":"router"},
{"index":"whatever2","value":"switch"}
]}

Lookups are a very powerful feature.

On 09.02.2022 12:56, DESSEAUX Samuel (Gaz Réseau Distribution France)
via rsyslog wrote:
> Hello,
>
> As i have solved my problem with writing rules, i have another question, more focused on writing
> I have several technos (firewall,switch, routers....) and each device has is own ip,hostname, a destination port (10510,10515,10516 etc....)
> As we connect to the rsyslog through a F5 VIP, how can i adapt the template in order to classifier things.
> Actually, i have this
> template(name="TmplAuthpriv" type="string"
> string="/var/log/remote/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
> If i let this, the hostname is the IP of the VIP but how can i classify by techno and by port
> It should give something like this (example)
> /var/log/remote/10521/ip(or hostname)/*.log
>
> Best regards
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie / Architecture et Expertise Outillage
> Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr>
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards
> NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
Re: question of template [ In reply to ]
Hello,

Thank you for your help. It's exactly the way i have to follow

Regards



-----Message d'origine-----
De : rsyslog <rsyslog-bounces@lists.adiscon.com> De la part de Mariusz Kruk via rsyslog
Envoyé : mercredi 9 février 2022 13:31
À : rsyslog@lists.adiscon.com
Cc : Mariusz Kruk <kruk@epsilon.eu.org>
Objet : Re: [rsyslog] question of template

Firstly, call it paranoia but I would _not_ rely on the hostname reported by the source. The only reliable metadata you have about the source is its IP address.

BTW, why are you sending to different ports?

And if I understand correctly, you want to be able to map source hostnames to a class of devices so that, for example

whatever1 is a router and is logged under /var/log/routers/whatever1.log

whatever2 is a switch and goes to /var/log/switches/whatever2.log

and so on.

Right?

Define a lookup, create an additional variable from that lookup and use it in your template. For example

lookup_table(name="host-class" file="host-class.json" reloadonHUP="on") template(name="destpath" type="string"
string="/var/log/%.class%/%HOSTNAME%.log")
set $.class=lookup("host-class",$hostname);
action(type="omfile" dynafile="destpath")

And in the host-class.json you do something like:

{
"version" : 1,
"nomatch" : "false",
"type" : "string",
"table" : [
{"index":"whatever1","value":"router"},
{"index":"whatever2","value":"switch"}
]}

Lookups are a very powerful feature.

On 09.02.2022 12:56, DESSEAUX Samuel (Gaz Réseau Distribution France) via rsyslog wrote:
> Hello,
>
> As i have solved my problem with writing rules, i have another
> question, more focused on writing I have several technos
> (firewall,switch, routers....) and each device has is own ip,hostname, a destination port (10510,10515,10516 etc....) As we connect to the rsyslog through a F5 VIP, how can i adapt the template in order to classifier things.
> Actually, i have this
> template(name="TmplAuthpriv" type="string"
> string="/var/log/remote/%HOSTNAME%/%PROGRAMNAME:::secpath-replace%.log"
> )
> If i let this, the hostname is the IP of the VIP but how can i
> classify by techno and by port It should give something like this
> (example) /var/log/remote/10521/ip(or hostname)/*.log
>
> Best regards
>
> Samuel Desseaux
> Direction des Systèmes d'Information / Domaine Ingénierie /
> Architecture et Expertise Outillage Architecte ELK
>
> 95, rue de Maubeuge
> 75009 Paris - France
> Tel : 07 49 95 94 14
> samuel.desseaux@externe.grdf.fr<mailto:samuel.desseaux@externe.grdf.fr
> >
> www.grdf.fr<http://www.grdf.fr/>
>
>
> « Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.
>
> Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de
> contrôles visant à garantir le respect des directives internes,
> protéger les intérêts de l'entreprise et éliminer les éventuels
> logiciels dangereux. Les messages électroniques ne sont pas sécurisés
> et sont susceptibles de comporter des erreurs puisqu'ils peuvent être
> interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute
> personne communiquant avec notre entreprise par message électronique
> accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent
> être vérifiées et sont disponibles sur demande »
>
> _______________________________________________
> rsyslog mailing list
> https://lists.adiscon.net/mailman/listinfo/rsyslog
> http://www.rsyslog.com/professional-services/
> What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE
> WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.
_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.

« Ce message est confidentiel et destiné à l'usage du (des) seul(s) destinataire(s) concerné(s). Il peut également contenir des informations à usage restreint, soumises à droits d'auteur ou à d'autres dispositions légales. Si vous l'avez reçu par erreur, nous vous prions de bien vouloir nous en informer par retour et de l'effacer de votre système. La copie du message et la communication de son contenu à quelque personne que ce soit sont interdites. La transmission erronée de ce message n'entraîne ni la renonciation ni la levée de la confidentialité et du secret professionnel.

Tous les messages envoyés et reçus par GRDF peuvent faire l'objet de contrôles visant à garantir le respect des directives internes, protéger les intérêts de l'entreprise et éliminer les éventuels logiciels dangereux. Les messages électroniques ne sont pas sécurisés et sont susceptibles de comporter des erreurs puisqu'ils peuvent être interceptés, modifiés, perdus, supprimés ou contenir des virus. Toute personne communiquant avec notre entreprise par message électronique accepte ces risques. Les délégations de pouvoirs et d'autorité peuvent être vérifiées et sont disponibles sur demande »

_______________________________________________
rsyslog mailing list
https://lists.adiscon.net/mailman/listinfo/rsyslog
http://www.rsyslog.com/professional-services/
What's up with rsyslog? Follow https://twitter.com/rgerhards
NOTE WELL: This is a PUBLIC mailing list, posts are ARCHIVED by a myriad of sites beyond our control. PLEASE UNSUBSCRIBE and DO NOT POST if you DON'T LIKE THAT.