Как записать логи выборочно(samba) через rsyslog?

Question

[Константин Васильевич]

Господа, всем привет!
Centos 7 + samba 4.9.1 + vfs full_audit

Мониторим действия пользователей, но rsyslog пишет строки те, которые не нужны! Как бы это все отфильтровать? Может кто настраивал и сможет подсказать? Пример настройки хотя бы

Answer 1

[paran0id]

В rsyslog есть фильтры.

Comments

[Константин Васильевич]

Есть. Какие именно лучше использовать в данном случае?

[paran0id]

Константин Васильевич, вы бы хоть уточнили, что хотите получить, что сделали, и что не устраивает.

[Константин Васильевич]

paran0id, нужно писать строку с точным содержимым create

[Константин Васильевич]

paran0id, сделал:
local6.notice, isequal, "create" /var/log/samba/audit.log но фильтр не работает

[paran0id]

Константин Васильевич, вы уверены? строка из одного слова? или всё же строка, содержащая create? тогда contains вместо isequal

[Константин Васильевич]

paran0id, лог пишет во много строк,
Типа: username|create_file|open|ok|serv/dat/filename.txt
И
username|create_file|create|ok|serv/dat/filename.txt
Вот выдернуть нужно только строку с содержанием create, а с содержанием open отбросить

[Виктор Таран]

https://www.unixtutorial.ru/filter-rsyslog-message...

[Константин Васильевич]

Дак выражение то как написать? Смекнул все не могу