<div dir="auto"><div dir="auto">Untested config:</div><div dir="auto"><br></div><div dir="auto">log {</div><div dir="auto">    source (s_local);</div><div dir="auto">    if (program("sudo")) {</div><div dir="auto">        parser { sudo-parser(); };</div><div dir="auto">        if (match("auto-user", value(".sudo.USER")) {</div><div dir="auto">            destination (d_autosudo);</div><div dir="auto">    }</div><div dir="auto">    flags(final);</div><div dir="auto">};</div><div dir="auto"><br></div><div dir="auto">I am not entirely sure of the name value pair .sudo.USER, sudo-parser extracts the key=value elements of a sudo log entry, and IIRC the username is an all caps "USER".</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Feb 4, 2021, 05:48 Dan Egli <dan@newideatest.site> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey folks, I've looked for a way to do this, and I guess my google-foo <br>
is weak today. I've got a situation where on one of my machines, an <br>
automated process FREQUENTLY calls sudo so it can gain the permissions <br>
it needs to do certain tasks. But that means my /var/log/messages is <br>
getting FILLED with sudo messages. I was hoping I could insert some kind <br>
of text filter that would allow me to shunt messages where one user (the <br>
automated process) calls sudo into another log file. It would basically <br>
need to be a nested filter, i.e.:<br>
If message_source = sudo then<br>
     if user = X then<br>
         log to auto_sudo.log<br>
<br>
If someone knows how this can be done, I'd appreciate it.<br>
<br>
Thanks!<br>
--- Dan<br>
<br>
______________________________________________________________________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer noreferrer" target="_blank">https://lists.balabit.hu/mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer noreferrer" target="_blank">http://www.balabit.com/support/documentation/?product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer noreferrer" target="_blank">http://www.balabit.com/wiki/syslog-ng-faq</a><br>
<br>
</blockquote></div>