与我之前关于syslog-ng的patterndb 模式匹配空描述的问题类似,我现在试图匹配“–MARK–”消息。 消息看起来像这样:
-- MARK -- 他们的$ {PROGRAM}显然被设置为空/空白。 我目前对于我的规则集具有以下XML,它与消息不匹配:
<ruleset name='my-null' id='my-null'> <pattern></pattern> <rules> <rule class='system' id='null_dashed_mark' provider='me'> <description></description> <patterns> <pattern>-- MARK --</pattern> </patterns> <values> </values> <examples> <example> <test_message program="">-- MARK --</test_message> <test_values> </test_values> </example> </examples> </rule> </rules> </ruleset>
我也尝试过<pattern>和</ pattern>之间的换行符和空格的各种组合,但都无济于事。
那么如何构build我的规则集规范来匹配/捕获这些“MARK”消息呢?
省略规则集的<pattern>元素,那么syslog-ng应该匹配没有PROGRAM字段的消息的这个规则集的规则。
问候,
罗伯特