[syslog-ng] 「特定の送信元 IP・それ以外」のフィルタ設定

久々に syslog-ng を使う機会があったのでメモ。

やりたいこと

• いくつかの特定の IP は、1 つのログファイルにまとめたい
• それ以外は、IP 毎にファイルを分割したい

たとえば、ネットワーク機器のログは 1 つにまとめ、その他サーバ機器のログは個別に分割したい、というような時。

設定

こんな感じにする

source s_remote {
  tcp(ip(0.0.0.0) port(514)); udp(ip(0.0.0.0) port(514));
};

filter f_specific {
  host(^172.16.0.1$) or
  host(^172.16.0.2$) or
  host(^172.16.0.253$) or
  host(^172.16.0.254$);
};

filter f_other {
  not filter(f_specific);
};

destination d_separate {
  file("/var/log/syslog-ng/$HOST/syslog.$YEAR-$MONTH-$DAY" create_dirs(yes));
};

destination d_merge {
  file("/var/log/syslog-ng/merged/syslog.$YEAR-$MONTH-$DAY" create_dirs(yes));
};

log { source(s_remote); filter(f_specific); destination(d_merge); };
log { source(s_remote); filter(f_other); destination(d_separate); };

ポイントは、f_specific を否定することにより、"特定の送信元 IP" と "それ以外の IP" というフィルタを作っている点。

※ host() の引数は regexp であることに注意

• 初稿 (Mon Mar 23 22:44:13 JST 2015)