Soru mesaj içeriği ve tesisindeki rsyslog filtreleri


Rsyslog ile bir günlük girdisinin içeriğine göre filtreleme örnekleri buldum. Ancak bunu yapmanın bir yolu var, bu yüzden sadece belirli bir tesisin içeriğine filtre oluyor? Örneğin şöyle bir şey:

if local0.* msg contains "foo"

Ancak, yeni oluşturduğum şey yerine gerçek bir sözdizimi ile.


5
2017-11-02 15:16


Menşei




Cevaplar:


Bir satırda olmak yerine iki sıralı filtre yapmanız gerekir.

:msg, contains, "some-text"
if $syslogfacility-text == "facility" then /var/log/somelog.log
~

Düzenle:

Onu geri alırım. Şimdi her iki yolu da yaptım. Bu örneği rsyslog Wiki'de uyarlanabilmeli diye buldum.

if $programname == 'popa3d' and $syslogseverity <= '6' then /var/log/popa3d.log

Tabii ki, sizin şartlarınızı örnek olarak değiştireceksiniz.

if $syslogfacility-text == 'local0' and $msg contains 'some-text' then /var/log/somelog.log
& ~

Rsyslog Wiki
Rsyslog Belgeleri


2
2017-11-02 15:25



Sıralı filtreler çalışmasının bir örneğini gösterir misiniz? Genel olarak, önceki çizginin & ~ - Kyle Brandt♦
Bazı ek bilgiler vermek için gönderimi yeni düzenledim. Bir mesaj rsyslog tarafından alındığında yukarıdan aşağıya işlenir. Atılana veya artık eşleşene kadar kurallarla işlenmeye devam edecektir. - Aaron Copley
@AaronCopley: El kitabının eksik olduğunu düşündüm. Başlıklara bağladığınız DOC'larda, diğer bölümlere bağlantılar olarak aynı yazı tipi / stil vardır. Bu yüzden bunların henüz tamamlanmamış olduğunu düşündüm ... :-P - Kyle Brandt♦
Evet, rsyslog için belgeler üzücü. Sadece sitelerinde değil, web’de. Biçimlendirme, tamlık, tutarlılık ... vb. Rsyslog'un yeniden yapılanma sürecinin üç aşamasının altına düştüğü görülüyor ve çalıştığınız sürüm ve uyumluluk modu sözdizimini de büyük ölçüde değiştirebiliyor. - Aaron Copley
@AaronCopley: Bununla birlikte, esnekliği şu anda benim için yararlı görünüyor. Yardımın için teşekkürler, çalışıyorum. Tek değişiklik bunun yerine somelog.log ~ sonunda ~ bıraktım ve yeni yaptı & ~ hat. Bunu yapmadığımda bir dosyam vardı somelog.log ~ ;-) - Kyle Brandt♦