rsyslogのテンプレートについ

質問内容

Aruba無線LANのsyslogをrsyslogに取り組む設定を行っております。
送信元のIPアドレスからhostsで名前解決させホスト名を表示させsysylog転送を行いたいと考えておりますが、送信されてくるsyslogのホスト名部分、IPアドレス部分がrsyslogで認識すると、西暦・syslogtagに相当してしまい名前解決ができない状態です。

このような状態の場合でホスト名をつける方法がございましたらご教授下さい。

実現したいこと

以下受信syslogに対して名前解決をさせsyslogを転送したい
May 18 22:28:21 2022 (192.168.11.2) cli[6147]: <541029> <DBUG> AP:Aruba-AP-Test <192.168.11.2 48:4A:E9:C9:CF:00> Receive stat publish for client - b0:73:9c:7f:0f:7d, from ap 127.0.0.1.

○rsyslogが認識する部分
%hostname%*　：2022
(%syslogtag%)　：(192.168.11.2)

テンプレート

template ap_syslog,"%timegenerated% %hostname% (%syslogtag%) %msg%\n"$

novelistory

2022/05/19 05:20 編集

redhatもしくはcentosでsyslogサーバを立てていて、Aruba無線LANからsyslogサーバへsyslog転送をしている、との認識でお間違いないでしょうか。 > 送信元のIPアドレスからhostsで名前解決させホスト名を表示させこれはsyslogサーバでの話でしょうか？ syslogサーバでの話であれば、「%hostname%」ではなく、「%fromhost%」を使うのはどうでしょうか？「％hostname%」はsyslogに書かれているホスト名を引っ張ってくるようです。「%fromhost%」はsyslogの送信元IPアドレスから名前解決するようです(名前解決できなければIPアドレスで表示)。 > テンプレート「/etc/rsyslog.conf」に記載もしくは「/etc/rsyslog.d/」ディレクトリに任意のファイルを作成(ex.template.conf)しているとの認識でお間違いないでしょうか？でしたら、「template」ではなく、「$template」だと思います。

kamekame0505

2022/05/19 05:43 編集

コメントありがとうございます。＞redhatもしくはcentosでsyslogサーバを立てていて、Aruba無線LANからsyslogサーバへsyslog転送をしている、との認識でお間違いないでしょうか。 →認識相違ございません。RHEL8になります。これはsyslogサーバでの話でしょうか？ syslogサーバでの話であれば、「%hostname%」ではなく、「%fromhost%」を使うのはどうでしょうか？「％hostname%」はsyslogに書かれているホスト名を引っ張ってくるようです。「%fromhost%」はsyslogの送信元IPアドレスから名前解決するようです(名前解決できなければIPアドレスで表示)。 →syslogサーバ側になります。　「%hostname%」と「%fromhost%」の違いを理解しておりませんでした。。　大変失礼いたしました。「%fromhost%」にて実施したところ希望の通りホスト名解決できました。 ※テンプレートの部分は＄マークの漏れになります。「%fromhost%」を使うことで解決する旨、回答へ記載いただけますと幸いです。　novelistoryさまの回答実績になると思いますので。

novelistory

2022/05/19 07:48

> 「%fromhost%」を使うことで解決する旨、回答へ記載いただけますと幸いです。　novelistoryさまの回答実績になると思いますので。ありがとうございます。回答へ記載しました。ちなみにこちらの方法では、もう1つのsyslogtagがIPアドレスになってしまう事象は継続中(解決していない)でしょうか？

kamekame0505

2022/05/26 12:44

コメントが遅くなり申し訳ありません。 syslogtagがIPアドレスになってしまう部分については解決しておりませんが、取り急ぎsyslogtagを使用せずで問題ないため実施したいことは実現できております。

行動規範の内容に同意します

回答2件

ベストアンサー

回答

syslogサーバがsyslog送信元IPアドレスを名前解決してホスト名としてログに書き込む場合、
「%fromhost%」を使用します。

shell
1$template ap_syslog,"%timegenerated% %fromhost% (%syslogtag%) %msg%\n"$
2

補足

「％hostname%」はsyslogに書かれているホスト名を引っ張ってくるようです。
「%fromhost%」はsyslogの送信元IPアドレスから名前解決するようです(名前解決できなければIPアドレスで表示)。

参考

rsyslog 8.2202.0 documentation

投稿2022/05/19 07:46

novelistory

総合スコア54

Aruba無線LANがタイムスタンプの後ろに年をつけて送ってくるのが問題ということですよね？
detect.YearAfterTimestampオプションをセットすると、timestamp の後ろの年を skip できるようです。

https://www.rsyslog.com/doc/master/configuration/modules/pmrfc3164.html

投稿2022/05/19 06:00

sigsegv

総合スコア895

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！