我在rsyslog.conf上添加以下行:

if $msg contains 'arpwatch'          then          /var/log/test.log


问题是如果我同时有包含表达式(arpwatch)的日志行,那么第一行会被记录,而其他行则不会。

如果同时包含“ arpwatch”行,如何修改表达式以写入日志?

如果这些行发送到rsyslog:

2012 Nov 10 09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:chdir(/ usr / arpwatch):没有这样的文件或目录
2012年11月10日09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:(使用当前工作目录)
2012年11月10日09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:pcap打开eth0:eth0:不存在这样的设备(SIOCGIFHWADDR:没有这样的设备)


然后在/var/log/test.log上我有这行:

2012 Nov 10 09:56:34 Alienvault-> / var / log / syslog Nov 10 09:56:34 Alienvault arpwatch_eth0:chdir(/ usr / arpwatch):没有这样的文件或目录


其他被忽略

最佳答案

您检查rsyslog的msg属性是否为模式arpwatch-但实际上仅在记录的消息中... arpwatch_eth0不是msg的一部分

关于linux - 使用rsyslog的重定向日志,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/13321240/

10-15 01:14