Der Beitrag beschreibt Schritte zum Erstellen eines eigenschaftsbasierten Filters zum Verwerfen (Unterdrücken) einer bestimmten Nachricht oder zum Umleiten von Programmnachrichten in eine bestimmte Protokolldatei.
Die Syntax
Die Syntax zum Schreiben eines eigenschaftsbasierten Filters sieht wie folgt aus:
:[Available Properties], [compare-operations], [customized expression] [path/log file]
Aus der Manpage von rsyslog.conf
Die Abwurfaktion (~)
Wenn die Discard-Aktion ausgeführt wird, wird die empfangene Nachricht sofort verworfen. Discard ist nur das einzelne Tilde-Zeichen ohne weitere Parameter.
Beispiel:
*.* ~ # discards everything.
rsyslog neu starten
Sie müssen den rsyslog-Dienst neu starten, nachdem Sie die rsyslog.conf
aktualisiert haben# service rsyslog restart # CentOS/RHEL 6 # systemctl restart rsyslog # CentOS/RHEL 7
Beispiel 1:Eine bestimmte Nachricht verwerfen (unterdrücken)
Sie haben eine Nachricht wie unten gezeigt, die Sie verwerfen oder unterdrücken möchten:
June 4 22:20:21 geeklab app: [804617.902850] this is a test message to discard
Fügen Sie die Regel wie unten gezeigt zur Datei /etc/rsyslog.conf hinzu:
# vi /etc/rsyslog.conf :msg, contains, "test message to discard" ~
Starten Sie den rsyslog-Dienst neu, nachdem Sie die Datei rsyslog.conf aktualisiert haben.
# service rsyslog restart # CentOS/RHEL 6 # systemctl restart rsyslog # CentOS/RHEL 7
Beispiel 2:Leiten Sie Programmnachrichten in eine bestimmte Protokolldatei um, aber nicht in Nachrichten
Sie haben eine Nachricht wie unten gezeigt, die Sie zu einer bestimmten Datei umleiten möchten, in diesem Beispiel /var/log/custom_app.log:
June 4 22:20:21 geeklab appname: [804617.902850] this is a test message to discard
Fügen Sie die Regel wie unten gezeigt zur Datei /etc/rsyslog.conf hinzu:
:programname, isequal, "appname" /var/log/custom_app.log :programname, isequal, "appname" ~
Starten Sie den rsyslog-Dienst neu, nachdem Sie die Datei rsyslog.conf aktualisiert haben.
# service rsyslog restart # CentOS/RHEL 6 # systemctl restart rsyslog # CentOS/RHEL 7