我在rsyslog.conf上添加以下行:
if $msg contains 'arpwatch' then /var/log/test.log
问题是如果我同时有包含表达式(arpwatch)的日志行,那么第一行会被记录,而其他行则不会。
如果同时包含“ arpwatch”行,如何修改表达式以写入日志?
如果这些行发送到rsyslog:
2012 Nov 10 09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:chdir(/ usr / arpwatch):没有这样的文件或目录
2012年11月10日09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:(使用当前工作目录)
2012年11月10日09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:pcap打开eth0:eth0:不存在这样的设备(SIOCGIFHWADDR:没有这样的设备)
然后在
/var/log/test.log
上我有这行:2012 Nov 10 09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:chdir(/ usr / arpwatch):没有这样的文件或目录
其他被忽略
最佳答案
您检查rsyslog的msg属性是否为模式arpwatch
-但实际上仅在记录的消息中... arpwatch_eth0
不是msg的一部分
关于linux - 使用rsyslog的重定向日志,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/13321240/