我试图从/ var / log / messages中过滤出audispd日志,默认情况下audispd使用“ user.info”发送日志
我当前的情况是/etc/rsyslog.conf在网络中的几台计算机内共享,因此大多数自定义配置文件是在/etc/rsyslog.d中完成的,我遇到的问题是它似乎在重定向日志确实可以使用自定义配置文件,例如,如果我的/etc/rsyslog.d/user.conf有此文件
user.info /var/auditd/audispd.log
& ~
它将很好地工作,但是对于过滤(例如下面的示例)将不会产生任何效果,即使我认为要放入此处的主要配置文件中的相同语法也肯定会起作用:
user.!=info /var/log/messages
& ~
在侧面说明服务器正在使用Rsyslog 5.8.10
PS:对不起,我的英语不好,因为它不是我的主要语言:)
谢谢
问候
ž
最佳答案
您必须确保已通过1.8审核,否则将无法正常工作。
将“ LOG_LOCAL0”添加到/etc/audisp/plugins.d/syslog.conf
修改rsyslog.conf并将“ local0.none”添加到目标位置(/ var / log / messages)
重新启动rsyslogd
关于linux - RSYSLOG自定义配置,用于日志过滤,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/31128171/